Nhà nghiên cứu Joshua Kamp (NCC Group), cho biết: “Vultur đã mã hóa thông tin giao tiếp giữa máy chủ điều khiển (C2 server) và các thiết bị bị nhiễm mã độc, mạo danh các ứng dụng hợp pháp để thực hiện nhiều hành động độc hại”.
Khi giao tiếp giữa máy chủ điều khiển và thiết bị của nạn nhân bị mã hóa, các dữ liệu truyền đi sẽ khiến các hệ thống bảo mật khó đọc và khó phân tích hơn, làm cho việc phát hiện và ngăn chặn các hoạt động độc hại trở nên khó khăn hơn.
Ngân hàng cảnh báo 2 chiêu thức lừa đảo mới mà người dùng nên biết
(PLO)- Với sự phát triển của công nghệ, các chiêu thức lừa đảo qua mạng xã hội, các kênh online, điện thoại… nhằm chiếm đoạt tài khoản và thông tin thẻ ngân hàng ngày càng tinh vi.
Phần mềm độc hại ngân hàng Vultur là gì?
Vultur là một trong những họ phần mềm độc hại ngân hàng Android đầu tiên có khả năng ghi màn hình, chủ yếu nhắm mục tiêu vào các ứng dụng ngân hàng để ghi lại thao tác bàn phím và điều khiển từ xa. Vultur được ThreatFabric phát hiện lần đầu tiên vào cuối tháng 3 năm 2021.
Người ta quan sát thấy phần mềm độc hại này được phân phối thông qua các ứng dụng nhỏ giọt (dropper) chứa trojan trên Google Play, giả dạng ứng dụng xác thực và ứng dụng năng suất để lừa người dùng cài đặt.
Theo quan sát của NCC Group, các ứng dụng nhỏ giọt sử dụng kết hợp tin nhắn SMS và cuộc gọi điện thoại để phát tán phần mềm độc hại. Sau khi người dùng cài đặt, ứng dụng nhỏ giọt sẽ thực thi 3 tải trọng liên quan (2 APK và 1 tệp DEX) đăng ký bot với máy chủ C2, lấy quyền dịch vụ trợ năng để truy cập từ xa thông qua AlphaVNC và ngrok, đồng thời chạy các lệnh được tìm nạp từ máy chủ C2.
Một trong những tính năng mới của Vultur là khả năng tương tác từ xa với thiết bị bị lây nhiễm, bao gồm thực hiện nhấp chuột, cuộn và vuốt thông qua các dịch vụ trợ năng của Android, cũng như tải xuống, tải lên, xóa, cài đặt và tìm tệp.
Ngoài ra, phần mềm độc hại còn ngăn nạn nhân tương tác với danh sách ứng dụng được xác định trước, hiển thị thông báo tùy chỉnh trên thanh trạng thái và thậm chí vô hiệu hóa Keyguard để vượt qua các biện pháp bảo mật màn hình khóa.
Vultur cải thiện tính năng điều khiển từ xa
Kamp cho biết: “Những phát triển gần đây của Vultur đã cho thấy sự thay đổi trọng tâm theo hướng tối đa hóa khả năng kiểm soát từ xa đối với các thiết bị bị nhiễm độc. Với khả năng ra lệnh cuộn, vuốt, nhấp chuột, điều khiển âm lượng, chặn chạy ứng dụng và thậm chí kết hợp chức năng quản lý tệp, rõ ràng mục tiêu chính là giành toàn quyền kiểm soát các thiết bị bị xâm nhập.”
Sự phát triển này diễn ra khi Nhóm Cymru tiết lộ quá trình chuyển đổi của trojan ngân hàng Android Octo (còn gọi là Coper) sang hoạt động dưới dạng dịch vụ, cung cấp phần mềm độc hại cho các tác nhân đe dọa khác để tiến hành đánh cắp thông tin.
Công ty cho biết: “Phần mềm độc hại này cung cấp nhiều tính năng nâng cao, bao gồm ghi nhật ký thao tác bàn phím, chặn tin nhắn SMS và thông báo đẩy cũng như kiểm soát màn hình của thiết bị” .
Các chiến dịch của Octo ước tính đã xâm phạm 45.000 thiết bị, chủ yếu trải dài trên khắp Bồ Đào Nha, Tây Ban Nha, Thổ Nhĩ Kỳ và Hoa Kỳ. Một số nạn nhân khác ở Pháp, Hà Lan, Canada, Ấn Độ và Nhật Bản.
Symantec thuộc sở hữu của Broadcom cho biết trong một bản tin rằng phần mềm độc hại này “nhắm mục tiêu đánh cắp thông tin ngân hàng, tin nhắn SMS và các thông tin bí mật khác từ thiết bị của nạn nhân”.
10 phần mềm độc hại ngân hàng phổ biến nhất hiện nay
(PLO)- Chỉ tính riêng trong năm 2023, Kaspersky đã chặn gần 33,8 triệu cuộc tấn công bằng phần mềm độc hại, phần mềm quảng cáo và phần mềm nguy hiểm.