Mã độc SharkBot trở lại Play Store, núp bóng ứng dụng để trộm thông tin

0 Thanh Niên Online

Đánh giá tác giả

Ứng dụng độc hại SharkBot từng bị phát hiện trên Play Store (Android) nay trở lại với phiên bản nâng cấp, tiếp tục nhắm vào thông tin đăng nhập ngân hàng của nạn nhân.

Theo BleepingComputer, một phiên bản nâng cấp của phần mềm độc hại SharkBot vừa bị phát hiện có mặt trên kho Play Store của Google. Chương trình này vẫn nhắm vào thông tin tài khoản ngân hàng như phiên bản trước, hiện giả danh thành các ứng dụng với hàng chục nghìn lượt tải về, cài đặt trên nền tảng Android.

Mã độc SharkBot trở lại Play Store, núp bóng ứng dụng để trộm thông tin - ảnh 1

SharkBot ẩn mình dưới dạng ứng dụng "sạch" trên Play Store

shutterstock

Cụ thể, SharkBot tồn tại trong 2 phần mềm cho Android. Tại thời điểm nhà phát triển nộp dữ liệu để hệ thống tự động của Google xét duyệt, các chương trình này không chứa bất kỳ đoạn mã khả nghi nào. Tuy nhiên, SharkBot nhanh chóng chèn mã độc vào dưới dạng bản cập nhật sau khi người dùng cài đặt chương trình gốc.

Fox IT, nhóm an ninh thuộc NCC Group cho biết hai ứng dụng có tên "Mister Phone Cleaner" và "Kylhavy Mobile Security" chứa SharkBot đã có tổng cộng trên 60.000 lượt tải. Cả hai ứng dụng đã bị gỡ khỏi Play Store nhưng những người đã cài về máy vẫn đối mặt với rủi ro và được khuyến cáo xóa ngay khỏi thiết bị.

SharkBot lần đầu được phát hiện bởi các chuyên gia phân tích mã độc tại Cleafy, một công ty quản lý và ngăn chặn lừa đảo trực tuyến của Ý, vào tháng 10.2021. Tới tháng 3.2022, NCC Group tìm được những ứng dụng đầu tiên chứa mã độc này tồn tại trên Play Store. Ở thời điểm đó, SharkBot tấn công và đánh cắp dữ liệu thông qua cơ chế sao chép thao tác nhập liệu, can thiệp vào tin nhắn SMS hoặc cho phép kẻ đứng sau quyền kiểm soát hoàn toàn máy nạn nhân.

Phiên bản mới nhất (2.25) bị phát hiện ngày 22.8 vừa qua được bổ sung khả năng đánh cắp cookie từ quá trình đăng nhập tài khoản ngân hàng trên thiết bị. Sau khi cài 1 trong 2 ứng dụng nêu trên vào máy, Trojan được thiết kế để cài phần mềm độc hại (Trojan Dropper hay các Dropper) sẽ gửi yêu cầu tới máy chủ C2 (máy chủ điều khiển và kiểm soát) để trực tiếp nhận file APK cài đặt SharkBot vào thiết bị mà không cần đường link tải về cũng như hiển thị các bước thiết lập.

Dropper sẽ hiện thông báo tới người dùng rằng phần mềm có một bản cập nhật khả dụng, đề xuất được cài và đòi cấp mọi quyền trên máy để tiến hành quá trình. Để làm khó cho quy trình rà soát mã độc tự động, SharkBot lưu trữ cấu hình mã lập trình cứng dưới dạng mã hóa sử dụng thuật toán RC4.

VIDEO ĐANG XEM NHIỀU