Phiên bản mới của Trojan Android Xenomorph đánh cắp dữ liệu từ 400 ứng dụng ngân hàng

Xenomorph Công ty an ninh mạng ThreatFabric (Hà Lan) vào tháng 2/2022, mã độc này là một trojan ngân hàng được phân phối thông qua các ứng dụng độc hại trên cửa hàng Google Play, phiên bản này đã được tải xuống hơn 50 nghìn lần (Xenomorph v1) bởi người dùng. Cách Xenomorph thực hiện các cuộc tấn công lớp phủ (overlay) và lạm dụng quyền của dịch vụ trợ năng trên 56 ứng dụng ngân hàng châu Âu để thực hiện chặn thông báo nhằm đánh cắp mã một lần (OTP) từ đó thu thập thông tin đăng nhập của người dùng và rút cạn tài khoản của họ là điều khiến nó trở nên đặc biệt nguy hiểm.

Tác giả của Xenomorph, "Hadoken Security", tiếp tục phát triển trojan độc hại này trong suốt năm 2022, nhưng các bản phát hành mới hơn của nó không bao giờ được phân phối với số lượng lớn. Thay vào đó, Xenomorph v2, được phát hành vào tháng 6/2022, chỉ có một khoảng thời gian hoạt động thử nghiệm ngắn trên thực tế. Tuy nhiên, phiên bản thứ hai đáng chú ý vì mã lệnh đã được cập nhật và tối ưu hóa, làm cho nó linh hoạt hơn.

Phiên bản mới Xenomorph v3

Xenomorph v3 có khả năng và hoàn thiện hơn nhiều so với các phiên bản trước và có thể tự động đánh cắp dữ liệu như thông tin đăng nhập, số dư tài khoản, thực hiện các giao dịch ngân hàng và hoàn tất chuyển tiền. ThreatFabric cảnh báo rằng "Với những tính năng mới, Xenomorph hiện có thể hoàn thành tự động hóa toàn bộ chuỗi đánh cắp, từ lây nhiễm đến rút tiền, khiến nó trở thành một trong những trojan độc hại nguy hiểm nhất trên hệ điều hành Android" trong báo cáo mới nhất về tính năng này.

ThreatFabric đã phát hiện ra một trang web chuyên quảng cáo phiên bản mới nhất của Trojan này sau khi xem xét các mẫu xenomorph v3, theo các nhà nghiên cứu. Theo các nhà nghiên cứu, việc ra mắt trang web quảng cáo phiên bản mới của Xenomorph càng củng cố thêm nhận định này và có khả năng Hadoken đang có kế hoạch rao bán Xenomorph cho các nhà khai thác thông qua nền tảng MaaS (phần mềm độc hại dưới dạng dịch vụ).

Trang web quảng cáo của Xenomorph v3 

Xenomorph v3 hiện đang được phân phối thông qua nền tảng "Zombinder" trên cửa hàng Google Play (nền tảng này do tin tặc tạo ra để thêm mã độc vào các ứng dụng Android hợp pháp, đây là những ứng dụng Android thường có chứa payload độc hại). Sau khi cài đặt các payload độc hại, Xenomorph v3 đóng vai trò là công cụ chuyển đổi tiền tệ và chuyển sang sử dụng biểu tượng Play Protect.

Mục tiêu của Xenomorph v3

Phiên bản mới nhất của Xenomorph nhắm mục tiêu đến 400 ngân hàng và tổ chức tài chính, phần lớn đến từ Mỹ, Tây Ban Nha, Thổ Nhĩ Kỳ, Ba Lan, Úc, Canada, Ý, Bồ Đào Nha, Pháp, Đức, UAE và Ấn Độ.

Mục tiêu của Xenomorph v3 tại các quốc gia

Chase, Citibank, American Express, ING, HSBC, Deutsche Bank, Wells Fargo, Amex, Citi, BNP, UniCredit, Ngân hàng Quốc gia Canada, BBVA, Santander và Caixa là một vài ví dụ về các tổ chức được nhắm mục tiêu. Trojan này hiện nhắm mục tiêu đến một số bên cạnh 400 ứng dụng ngân hàng và tổ chức tài chính. ví tiền điện tử, bao gồm Binance, BitPay, KuCoin, Gemini và Coinbase.

Vượt qua xác thực MFA

Khung ATS, cho phép tin tặc tự động trích xuất dữ liệu xác thực, kiểm tra số dư tài khoản, thực hiện giao dịch và đánh cắp tài chính từ các ứng dụng mục tiêu mà không cần thực hiện các hành động từ xa trên thiết bị Android bị nhiễm, là tính năng đáng chú ý nhất được biết đến trong phiên bản Xenomorph v3. Thay vào đó, người điều khiển chỉ cần gửi các tập lệnh JSON mà Xenomorph chuyển đổi thành danh sách các hoạt động và thực hiện chúng tự động trên thiết bị bị nhiễm.

Theo các nhà nghiên cứu của ThreatFabrics, "Khung ATS được Xenomorph v3 sử dụng nổi bật so với các phần mềm độc hại khác vì có nhiều lựa chọn hành động có thể lập trình được và có thể được đưa vào tập lệnh ATS bên cạnh hệ thống cho phép thực thi có điều kiện và ưu tiên hành động." Ngoài ra, khung ATS có khả năng ghi nhật ký nội dung của các ứng dụng xác thực của bên thứ ba, vượt qua các biện pháp bảo vệ xác thực đa yếu tố - MFA và có thể ngăn chặn các giao dịch tự động.

Các ngân hàng đang dần từ bỏ tin nhắn SMS MFA và đề nghị khách hàng sử dụng các ứng dụng xác thực như Google Authenticator hoặc Microsoft Authenticator (tuy nhiên, không phải tất cả các ngân hàng đều cung cấp chọn này), vì vậy khả năng Xenomorph truy cập các ứng dụng này trên cùng một thiết bị là điều đáng lo ngại.

Ứng dụng Google Authenticator

Đánh cắp cookie

Xenomorph v3 thậm chí còn có thể đánh cắp cookie và có thể lấy cookie trên điện thoại của nạn nhân từ Android CookieManager, nơi lưu trữ cookie phiên của người dùng. Xenomorph v3 thực hiện điều này bằng cách khởi chạy một cửa sổ trình duyệt có URL của một dịch vụ hợp pháp với giao diện JavaScript được mở ra, sau đó đánh lừa nạn nhân nhập thông tin đăng nhập của họ. Với các phiên cookie này, tin tặc có thể chiếm quyền điều khiển các phiên truy cập web của nạn nhân và chiếm đoạt tài khoản của họ.

Quy trình đánh cắp cookie của Xenomorph v3

Bảo vệ và ngăn chặn sự lây nhiễm của thiết bị

Một trojan gần đây đáng chú ý được gọi là Xenomorph. Với việc phát hành phiên bản chính thứ 3, nó giờ đây là mối đe lớn hơn nhiều đối với người dùng Android trên toàn thế giới khi có thể rút tài khoản ngân hàng và chiếm đoạt các tài khoản trực tuyến khác của nạn nhân vì nó có thể tự động trộm cắp dữ liệu mật khẩu lưu trữ.

Để bảo vệ và phòng ngừa mối đe lây nhiễm độc hại của trojan này và các phần mềm độc hại khác, người dùng chú ý như sau: Xenomorph v3 hiện đang được phân phối bằng Zombinder trên cửa hàng Google Play.

• Các thư viện của bên thứ 3 không có các bước bảo mật mạnh mẽ và không đảm bảo an toàn, vì vậy bạn nên thận trọng và chỉ tải xuống ứng dụng từ các cửa hàng ứng dụng chính thức (chẳng hạn như Google Play).
• Đọc kỹ các bài đánh giá và xếp hạng của các ứng dụng đó trước khi tải xuống. Ngoài ra, nên hạn chế sử dụng các ứng dụng trên điện thoại ở mức tối thiểu có thể.
• Không nhấp vào liên kết hoặc tệp đính kèm mà người dùng nhận được trong các email hoặc tin nhắn lạ, không mong muốn. Chúng có thể chứa phần mềm độc hại và xâm nhập vào thiết bị của người dùng hoặc đánh cắp dữ liệu nhạy cảm.
• Không sử dụng mật khẩu mặc định, sử dụng mật khẩu mạnh và duy nhất, chủ động thay đổi mật khẩu một lần.
• Để bảo vệ điện thoại Android, người dùng cần phải đảm bảo rằng Google Play Protect được bật vì nó quét tất cả các ứng dụng hiện có và bất kỳ ứng dụng mới được cài đặt để tìm mã độc. Người dùng có thể cài đặt một trong những ứng dụng chống virus Android tốt nhất đi kèm với ứng dụng đó.

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống