Mã độc Trojan mới Octo nhắm mục tiêu vào các tổ chức tài chính

09:10 | 21/04/2022

Hơn 50.000 lượt tải về các ứng dụng giả mạo trên Google Play đang được sử dụng để nhắm tới các ngân hàng và các tổ chức tài chính trên toàn thế giới.

Hình 1. Các mô-đun của mã độc trojan Octo trên Android

Mã độc Trojan mới có tên là Octo trên Android nhắm tới các mục tiêu là ngân hàng, được cho là một trong những biến thể của một phần mềm độc hại trên Android khác có tên là Exobot Compact – được phát hiện vào năm 2019 khi tấn công các ngân hàng ở Mỹ La-tinh. Một biến thể khác của Exobot Compact là Coper được phát hiện vào khoảng tháng 7/2021 ở Colombia, sau đó lan rộng ra các quốc gia ở Châu Âu. Loại phần mềm độc hại này thường được biết đến với việc mạo danh các ứng dụng tổ chức tài chính có tên Bancolombia Personas. Các phiên bản mới hơn của phần mềm độc hại Coper cũng bắt đầu sử dụng các ứng dụng tiện ích mạo danh.

Hình 2. Mã chương trình thực thi Coper

Giống như các mã độc trojan trên Android nhắm mục tiêu vào các ngân hàng, trojan Octo hay Coper thực thi dựa trên trình thả Dropper – một chương trình hoặc một tập tin được sử dụng để cài đặt các rootkit trên thiết bị mục tiêu. Dưới đây là danh sách các trình thả Droppers của Octo và Coper được sử dụng bởi các tác nhân đe dọa:

  • Pocket Screencaster (com[.]moh[.]screen)
  • Fast Cleaner 2021 (vizeeva[.]fast[.]cleaner)
  • Play Store (com[.]restthe71)
  • Postbank Security (com[.]carbuildz)
  • Pocket Screencaster (com[.]cutthousandjs)
  • BAWAG PSK Security (com[.]frontwonder2)
  • Play Store app install (com[.]theseeye5)

Các ứng dụng này, đóng vai trò là trình cài đặt ứng dụng trên cửa hàng Google Play, có khả năng ghi lại màn hình và thu thập thông tin từ các ứng dụng giao dịch tài chính, được phân phối thông qua cửa hàng Google Play hoặc qua các trang web lừa đảo nhằm yêu cầu người dùng tải xuống bản cập nhật trình duyệt.

Hình 3. Một số hình thức gian lận trên thiết bị di động

Các trình thả Droppers, sau khi được cài đặt hoạt động như một đường dẫn để khởi chạy trojan. Khi Dropper được thực thi, nó sẽ giải nén các đoạn mã độc lên thiết bị. Thông thường, một dropper nhúng các đoạn mã nhị phân vào trong phần Resource của tập tin thực thi. Để trích xuất, các tập tin thực thi trong phần Resource của Dropper được giải nén bằng cách sử dụng các thủ tục gọi hàm API như là FindResource(), LoadResource(), LockResource() và SizeOfResource().

Hình 4. Tập tin thực thi được nhúng vào trong phần Resource của Dropper

Octo - phiên bản nâng cấp của ExobotCompact, được cài đặt để thực hiện gian lận trên thiết bị bằng cách giành quyền điều khiển từ xa đối với các thiết bị di động thông qua tận dụng quyền trợ năng cũng như API MediaProjection của Android để ghi lại nội dung màn hình cũng như có khả năng chia sẻ màn hình ứng dụng trong thời gian thực.

Theo công ty bảo mật ThreatFnai của Hà Lan cho biết, mục tiêu cuối cùng của mã độc trojan Octo là kích hoạt tự động thực hiện các giao dịch gian lận và cung cấp khả năng ủy quyền thực thi mà không cần thông qua tổ chức, do đó cho phép gian lận trên quy mô lớn. Các tính năng đáng chú ý khác của Octo bao gồm: khả năng lưu lại các lần gõ phím, khả năng thực hiện các cuộc tấn công lớp phủ (overlay attack) vào các ứng dụng ngân hàng để đánh cắp thông tin xác thực, thông tin giao dịch, cũng như cung cấp các biện pháp thích ứng nhằm ngăn chặn việc gỡ cài đặt ứng dụng và lẩn tránh trước các công cụ diệt virus.