Alien – Mã độc Trojan Android Banking mới có thể vượt qua xác thực hai yếu tố
- Thứ ba - 29/09/2020 03:52
- In ra
- Đóng cửa sổ này
Các chuyên gia bảo mật đã phát hiện ra một loại mã độc trojan ngân hàng mới, được gọi là Alien đang xâm nhập vào các thiết bị Android trên toàn thế giới.
1
Các chuyên gia bảo mật đã phát hiện ra một loại mã độc trojan ngân hàng mới, được gọi là Alien đang xâm nhập vào các thiết bị Android trên toàn thế giới.
Alien sử dụng các tính năng nâng cao để vượt qua các biện pháp bảo mật xác thực hai yếu tố (2FA) nhằm đánh cắp thông tin đăng nhập của nạn nhân.
Sau khi đã lây nhiễm cho một thiết bị, RAT (Remote Access Trojan) đặt mục tiêu lấy cắp mật khẩu từ ít nhất 226 ứng dụng di động – bao gồm các ứng dụng ngân hàng như Bank of America Mobile Banking và Capital One Mobile, cũng như một loạt các ứng dụng khác như Snapchat, Telegram và Microsoft Outlook.
Alien lần đầu tiên được quảng cáo trên các diễn đàn ngầm vào tháng 1, với mục tiêu nhắm vào các tổ chức trên toàn thế giới, bao gồm Úc, Pháp, Đức, Ý, Ba Lan, Tây Ban Nha, Thổ Nhĩ Kỳ, Anh và Hoa Kỳ. Các chuyên gia bảo mật tại ThreatFabric đã chứng minh rằng Alien là một "nhánh" - biến thể mới của mã độc ngân hàng Cerberus (v1) khét tiếng, hoạt động từ đầu tháng 1 năm 2020. Cerberus đã ngừng hoạt động và các khách hàng của nó dường như chuyển sang Alien, một mã độc dưới dạng dịch vụ (MaaS) cho những kẻ tấn công lừa đảo.
Malware Alien
Alien RAT có nhiều đặc tính thường thấy của mã độc Android như khởi động các cuộc tấn công Overlay, kiểm soát và đánh cắp tin nhắn SMS và thu thập danh bạ - cũng như ghi nhật ký, thu thập vị trí và các đặc tính khác.
Tuy nhiên, malware này cũng có một số đặc tính nâng cao hơn, bao gồm một trình kiểm tra thông báo cho phép nó truy cập tất cả các bản cập nhật mới trên các thiết bị bị nhiễm. Điều này cũng bao gồm mã 2FA code – cho phép mã độc vượt qua các biện pháp bảo mật 2FA.
Alien tận dụng chiến thuật này bằng cách lợi dụng quyền nhận nội dung của thông báo trên thanh trạng thái thiết bị Android bị nhiễm: “android.permission.BIND_NOTIFICATION_LISTENER_SERVICE”.
Mặc dù người dùng cần cấp quyền này theo cách thủ công trong cài đặt, nhưng Alien đã vượt qua bằng cách sử dụng đặc quyền Trợ năng (Accessibility) trên thiết bị Android, tự thực hiện tất cả các tương tác cần thiết của người dùng.
Alien thực hiện điều này bằng cách sử dụng tính năng truy cập từ xa nâng cao trên ứng dụng TeamViewer, cho phép kẻ tấn công đằng sau mã độc điều khiển từ xa thiết bị của nạn nhân. TeamViewer là một ứng dụng phần mềm dùng để điều khiển từ xa, chia sẻ máy tính và các cuộc họp trực tuyến.
Khi TeamViewer được kích hoạt thành công, kẻ tấn công có toàn quyền điều khiển từ xa đối với giao diện người dùng của thiết bị, từ đó có thể truy cập và thay đổi cài đặt thiết bị, cài đặt và gỡ bỏ ứng dụng, đồng thời sử dụng bất kỳ ứng dụng nào được cài đặt trên thiết bị (ứng dụng ngân hàng, mạng xã hội, messenger).
Vẫn chưa rõ Alien ban đầu lây lan như thế nào, nhưng vì mã độc này đang được cho thuê, nhiều chiến thuật vector tấn công khác nhau có thể được sử dụng, bao gồm lừa đảo trực tuyến, lây lan qua các ứng dụng của bên thứ ba và hơn thế nữa.
Các chuyên gia dự đoán rằng nhiều “họ” mã độc mới, dựa trên Cerberus, sẽ xuất hiện vào quý cuối cùng của năm 2020. Khi đề cập cụ thể đến Alien, các chuyên gia nhận định tác giả của mã độc này sẽ liên tục cải thiện chức năng truy cập từ xa của nó.
Vì vậy, các chuyên gia bảo mật khuyến cáo tất cả các tổ chức tài chính nâng cao nhận thức về mối đe dọa trong hiện tại và cả tương lai để sớm thực hiện các cơ chế bảo mật, phát hiện và kiểm soát liên quan.
Alien sử dụng các tính năng nâng cao để vượt qua các biện pháp bảo mật xác thực hai yếu tố (2FA) nhằm đánh cắp thông tin đăng nhập của nạn nhân.
Sau khi đã lây nhiễm cho một thiết bị, RAT (Remote Access Trojan) đặt mục tiêu lấy cắp mật khẩu từ ít nhất 226 ứng dụng di động – bao gồm các ứng dụng ngân hàng như Bank of America Mobile Banking và Capital One Mobile, cũng như một loạt các ứng dụng khác như Snapchat, Telegram và Microsoft Outlook.
Alien lần đầu tiên được quảng cáo trên các diễn đàn ngầm vào tháng 1, với mục tiêu nhắm vào các tổ chức trên toàn thế giới, bao gồm Úc, Pháp, Đức, Ý, Ba Lan, Tây Ban Nha, Thổ Nhĩ Kỳ, Anh và Hoa Kỳ. Các chuyên gia bảo mật tại ThreatFabric đã chứng minh rằng Alien là một "nhánh" - biến thể mới của mã độc ngân hàng Cerberus (v1) khét tiếng, hoạt động từ đầu tháng 1 năm 2020. Cerberus đã ngừng hoạt động và các khách hàng của nó dường như chuyển sang Alien, một mã độc dưới dạng dịch vụ (MaaS) cho những kẻ tấn công lừa đảo.
Malware Alien
Alien RAT có nhiều đặc tính thường thấy của mã độc Android như khởi động các cuộc tấn công Overlay, kiểm soát và đánh cắp tin nhắn SMS và thu thập danh bạ - cũng như ghi nhật ký, thu thập vị trí và các đặc tính khác.
Tuy nhiên, malware này cũng có một số đặc tính nâng cao hơn, bao gồm một trình kiểm tra thông báo cho phép nó truy cập tất cả các bản cập nhật mới trên các thiết bị bị nhiễm. Điều này cũng bao gồm mã 2FA code – cho phép mã độc vượt qua các biện pháp bảo mật 2FA.
Alien tận dụng chiến thuật này bằng cách lợi dụng quyền nhận nội dung của thông báo trên thanh trạng thái thiết bị Android bị nhiễm: “android.permission.BIND_NOTIFICATION_LISTENER_SERVICE”.
Mặc dù người dùng cần cấp quyền này theo cách thủ công trong cài đặt, nhưng Alien đã vượt qua bằng cách sử dụng đặc quyền Trợ năng (Accessibility) trên thiết bị Android, tự thực hiện tất cả các tương tác cần thiết của người dùng.
Alien thực hiện điều này bằng cách sử dụng tính năng truy cập từ xa nâng cao trên ứng dụng TeamViewer, cho phép kẻ tấn công đằng sau mã độc điều khiển từ xa thiết bị của nạn nhân. TeamViewer là một ứng dụng phần mềm dùng để điều khiển từ xa, chia sẻ máy tính và các cuộc họp trực tuyến.
Khi TeamViewer được kích hoạt thành công, kẻ tấn công có toàn quyền điều khiển từ xa đối với giao diện người dùng của thiết bị, từ đó có thể truy cập và thay đổi cài đặt thiết bị, cài đặt và gỡ bỏ ứng dụng, đồng thời sử dụng bất kỳ ứng dụng nào được cài đặt trên thiết bị (ứng dụng ngân hàng, mạng xã hội, messenger).
Vẫn chưa rõ Alien ban đầu lây lan như thế nào, nhưng vì mã độc này đang được cho thuê, nhiều chiến thuật vector tấn công khác nhau có thể được sử dụng, bao gồm lừa đảo trực tuyến, lây lan qua các ứng dụng của bên thứ ba và hơn thế nữa.
Các chuyên gia dự đoán rằng nhiều “họ” mã độc mới, dựa trên Cerberus, sẽ xuất hiện vào quý cuối cùng của năm 2020. Khi đề cập cụ thể đến Alien, các chuyên gia nhận định tác giả của mã độc này sẽ liên tục cải thiện chức năng truy cập từ xa của nó.
Vì vậy, các chuyên gia bảo mật khuyến cáo tất cả các tổ chức tài chính nâng cao nhận thức về mối đe dọa trong hiện tại và cả tương lai để sớm thực hiện các cơ chế bảo mật, phát hiện và kiểm soát liên quan.