BlackRock mã độc tấn công các ứng dụng trên Android đánh cắp mật khẩu và dữ liệu

Một chủng phần mềm độc hại mới trên Android được tội phạm mạng trang bị một loạt các tính năng có khả năng đánh cắp dữ liệu từ 377 ứng dụng trên Android. Mã độc này có tên là “BlackRock” và được phát hiện lần đầu tiên vào tháng 5 năm nay bởi công ty bảo mật di động ThreatFoven.

Phần mềm độc hại mới BlackRock có thể đánh cắp mật khẩu và thông tin thẻ tín dụng từ 337 ứng dụng trên Android.

Các nhà nghiên cứu bảo mật cho biết, phần mềm độc hại này dựa trên mã nguồn mở của một chủng phần mềm độc hại khác có tên Xerxes nhưng chủng mới được cải tiến với các tính năng bổ sung, đặc biệt là về mặt đánh cắp mật khẩu người dùng và thông tin thẻ tín dụng.

BlackRock vẫn hoạt động giống như hầu hết các mã độc Android chuyên tấn công các ứng dụng ngân hàng khác, tuy nhiên, chủng mới nhắm mục tiêu đến nhiều ứng dụng hơn so với các phiên bản trước đây.

Các Trojan (chứa các mã độc hại) sẽ đánh cắp cả thông tin đăng nhập (tên người dùng và mật khẩu) và thông tin chi tiết về thẻ thanh toán nếu ứng dụng hỗ trợ giao dịch tài chính.

Theo ThreatFoven, việc thu thập dữ liệu diễn ra thông qua một kỹ thuật gọi là “overlays” (là một cửa sổ nhỏ hiện lên giữa màn hình, để thu hút sự chú ý của người dùng) bao gồm việc phát hiện khi người dùng cố gắng tương tác với một ứng dụng hợp pháp và hiển thị một cửa sổ giả mạo trên đầu của màn hình thu thập chi tiết đăng nhập và dữ liệu thẻ của nạn nhân trước khi cho phép người dùng đăng nhập vào ứng dụng một cách hợp pháp.

Trong một báo cáo được các nhà nghiên cứu của ThreatFoven phát hành mới đây cho thấy, phần lớn các lớp “overlays” của BlackRock đều hướng đến các ứng dụng truyền thông mạng xã hội và lừa đảo tài chính. Tuy nhiên, BlackRock cũng thường xuyên lừa đảo và thu thập dữ liệu từ các ứng dụng hẹn hò, tin tức, mua sắm, lối sống và năng suất lao động.

BlackRock hoạt động giống như hầu hết các phần mềm độc hại trên Android hiện nay và cũng sử dụng các kỹ thuật cũ. Sau khi được cài đặt trên thiết bị, một ứng dụng độc hại bị nhiễm mã độc BlackRock sẽ yêu cầu người dùng cấp quyền truy cập vào tính năng Trợ năng (Accessibility) của điện thoại.

Tính năng Accessibility trên hệ điều hành Android là một trong những tính năng mạnh nhất của hệ điều hành này, vì nó có thể được sử dụng để tự động hóa các tác vụ và thậm chí thay mặt người dùng thực hiện bất kỳ thao tác nào trên thiết bị.

BlackRock sử dụng tính năng Accessibility để cấp quyền truy cập cho các tính năng đặc biệt khác trên thiết bị Android của người dùng và sau đó sử dụng bộ DPC Android (bộ điều khiển chính sách thiết bị) để cấp quyền truy cập quản trị cho thiết bị. Sau đó, nó sử dụng quyền truy cập này để hiển thị các lớp “overlays” độc hại. Ngoài ra, phần mềm độc hại BlackRock cũng có thể thực hiện các hoạt động xâm nhập khác, như: chặn tin nhắn SMS, gửi tin nhắn SMS liên tục, cài đặt chức năng keylogger, phá hoại các ứng dụng chống virus trên thiết bị di động.

Hiện tại, BlackRock được phát tán ngụy trang dưới dạng các gói cập nhật thông qua ứng dụng giả Google được cung cấp trên các trang web của bên thứ ba và hiện mã độc vẫn chưa được phát hiện trên chợ ứng dụng chính thức của Google. Tuy nhiên, trong quá khứ, các băng nhóm đứng sau các phần mềm độc hại Android thường tìm cách vượt qua các quá trình đánh giá ứng dụng của Google và rất có thể BlackRock sẽ sớm tấn công chợ ứng dụng Google Play.

Theo Tạp chí Điện tử / Zdnet

Tags: