Một chiến dịch phần mềm độc hại Android có tên là MoneyMonger đã được tìm thấy ẩn trong các ứng dụng cho vay tiền được phát triển bằng Flutter. Đó là biểu tượng của làn sóng tống tiền đang gia tăng của tội phạm mạng nhắm vào người tiêu dùng — và chủ nhân của chúng cũng sẽ phải chịu hậu quả.
Theo nghiên cứu từ nhóm Zimperium zLabs, phần mềm độc hại này sử dụng nhiều lớp kỹ thuật xã hội để lợi dụng nạn nhân và cho phép các tác nhân độc hại đánh cắp thông tin cá nhân từ thiết bị cá nhân, sau đó sử dụng thông tin đó để tống tiền các cá nhân.
Theo các nhà nghiên cứu của Zimperium, phần mềm độc hại MoneyMonger, được phân phối thông qua các cửa hàng ứng dụng của bên thứ ba và được tải vào thiết bị Android của nạn nhân, được xây dựng từ đầu để trở nên độc hại, nhắm mục tiêu đến những người cần tiền mặt nhanh chóng. Nó sử dụng nhiều lớp kỹ thuật xã hội để lợi dụng các nạn nhân của mình, bắt đầu bằng một kế hoạch cho vay nặng lãi và hứa hẹn tiền nhanh chóng cho những ai làm theo một số hướng dẫn đơn giản.
Trong quá trình thiết lập ứng dụng, nạn nhân được thông báo rằng cần có quyền trên thiết bị đầu cuối di động để đảm bảo họ có đủ điều kiện để nhận khoản vay. Sau đó, các quyền này được sử dụng để thu thập và lọc dữ liệu, bao gồm từ danh sách liên hệ, dữ liệu vị trí GPS, danh sách các ứng dụng đã cài đặt, bản ghi âm, nhật ký cuộc gọi, danh sách SMS cũng như danh sách tệp và bộ nhớ. Nó cũng có được quyền truy cập máy ảnh.
Thông tin bị đánh cắp này được sử dụng để tống tiền và đe dọa nạn nhân phải trả lãi suất quá cao. Nếu nạn nhân không thanh toán đúng hạn và trong một số trường hợp, ngay cả sau khi khoản vay đã được hoàn trả, những kẻ xấu đe dọa sẽ tiết lộ thông tin, gọi cho những người trong danh sách liên hệ và thậm chí gửi ảnh từ thiết bị.
Một trong những điều mới và thú vị về phần mềm độc hại này là cách nó sử dụng bộ công cụ phát triển phần mềm Flutter để che giấu mã độc.
Mặc dù bộ phần mềm giao diện người dùng (UI) nguồn mở Flutter đã thay đổi cuộc chơi cho các nhà phát triển ứng dụng, nhưng những kẻ độc hại cũng đã lợi dụng các khả năng và khuôn khổ của nó, triển khai các ứng dụng có rủi ro nghiêm trọng về bảo mật và quyền riêng tư cho các nạn nhân nhẹ dạ cả tin.
Trong trường hợp này, MoneyMonger lợi dụng khuôn khổ của Flutter để làm xáo trộn các tính năng độc hại và làm phức tạp việc phát hiện hoạt động độc hại bằng phân tích tĩnh, các nhà nghiên cứu của Zimperium giải thích trong một báo cáo. Bài đăng trên blog ngày 15 tháng XNUMX.
Rủi ro đối với doanh nghiệp bắt nguồn từ nhiều loại dữ liệu được thu thập
Richard Melick, giám đốc tình báo về mối đe dọa di động tại Zimperium, nói với Dark Reading rằng người tiêu dùng sử dụng các ứng dụng cho vay tiền có nguy cơ cao nhất, nhưng do bản chất của mối đe dọa này và cách những kẻ tấn công đánh cắp thông tin nhạy cảm để tống tiền, họ cũng đang đặt người chủ của họ hoặc bất kỳ tổ chức nào họ cũng làm việc với rủi ro.
Ông nói: “Những kẻ tấn công đằng sau MoneyMonger rất dễ dàng lấy cắp thông tin từ email công ty, tệp đã tải xuống, email cá nhân, số điện thoại hoặc các ứng dụng doanh nghiệp khác trên điện thoại, sử dụng thông tin đó để tống tiền nạn nhân của chúng.
Melick cho biết MoneyMonger là một rủi ro đối với các cá nhân và doanh nghiệp vì nó thu thập nhiều loại dữ liệu từ thiết bị của nạn nhân, bao gồm cả tài liệu nhạy cảm liên quan đến doanh nghiệp và thông tin độc quyền.
Ông nói: “Bất kỳ thiết bị nào được kết nối với dữ liệu doanh nghiệp đều gây rủi ro cho doanh nghiệp nếu nhân viên trở thành nạn nhân của trò lừa đảo cho vay nặng lãi MoneyMonger trên thiết bị đó. “Nạn nhân của khoản vay cắt cổ này có thể bị buộc phải ăn cắp để trả tiền cho khoản tiền tống tiền hoặc không báo cáo hành vi trộm cắp dữ liệu quan trọng của doanh nghiệp bởi những kẻ độc hại đứng sau chiến dịch.”
Melick nói rằng các thiết bị di động cá nhân đại diện cho một bề mặt tấn công quan trọng, không có địa chỉ cho các doanh nghiệp. Ông chỉ ra rằng phần mềm độc hại chống lại thiết bị di động chỉ tiếp tục trở nên tiên tiến hơn và nếu không có khả năng đo lường mối đe dọa từ xa cũng như biện pháp phòng thủ quan trọng để chống lại tập hợp con hoạt động độc hại ngày càng tăng này, các doanh nghiệp và nhân viên của họ sẽ gặp rủi ro.
Ông nói: “Bất kể chúng thuộc sở hữu của công ty hay là một phần của chiến lược BYOD, thì nhu cầu bảo mật là rất quan trọng để vượt qua MoneyMonger và các mối đe dọa nâng cao khác. “Giáo dục chỉ là một phần của chìa khóa ở đây và công nghệ có thể lấp đầy khoảng trống, giảm thiểu rủi ro và bề mặt tấn công do MoneyMonger và các mối đe dọa khác gây ra.”
Điều quan trọng cần nhớ là tránh tải xuống ứng dụng từ các cửa hàng ứng dụng không chính thức; Người phát ngôn của Google nhấn mạnh với Dark Reading rằng các cửa hàng chính thức, như Google Play, đều có các biện pháp bảo vệ người dùng.
Ông nói: “Không có ứng dụng độc hại nào được xác định trong báo cáo có trên Google Play”. “Google Play Protect kiểm tra các thiết bị Android bằng Dịch vụ Google Play để tìm các ứng dụng có thể gây hại từ các nguồn khác. Google Play Protect sẽ cảnh báo người dùng cố gắng cài đặt hoặc khởi chạy các ứng dụng được xác định là độc hại.”
Sự trỗi dậy của trojan ngân hàng
Phần mềm độc hại MoneyMonger theo sau sự hồi sinh của Trojan ngân hàng Android SOVA, hiện có các khả năng được cập nhật và một phiên bản bổ sung đang được phát triển có chứa mô-đun ransomware.
Các Trojan ngân hàng khác đã xuất hiện trở lại với các tính năng được cập nhật để giúp vượt qua quá trình bảo mật, bao gồm cả Emotet, đã xuất hiện trở lại đầu mùa hè này ở dạng nâng cao hơn sau khi bị lực lượng đặc nhiệm quốc tế chung hạ gục vào tháng 2021 năm XNUMX.
Nokia 2021 “Báo cáo tình báo về mối đe dọa” cảnh báo rằng các mối đe dọa phần mềm độc hại ngân hàng đang gia tăng mạnh mẽ, khi tội phạm mạng nhắm mục tiêu vào sự phổ biến ngày càng tăng của dịch vụ ngân hàng di động trên điện thoại thông minh, với âm mưu đánh cắp thông tin ngân hàng cá nhân và thông tin thẻ tín dụng.
Các mối đe dọa tống tiền dự kiến sẽ tiếp tục vào năm 2023
Melick chỉ ra rằng tống tiền không phải là mới đối với các tác nhân độc hại, như đã thấy trong các cuộc tấn công ransomware và vi phạm dữ liệu trên phạm vi toàn cầu.
Ông nói: “Tuy nhiên, việc sử dụng tống tiền ở mức độ cá nhân như vậy, nhắm mục tiêu vào từng nạn nhân, là một cách tiếp cận hơi mới cần đầu tư về nhân sự và thời gian. “Nhưng nó đang được đền đáp và dựa trên số lượng đánh giá và khiếu nại xung quanh MoneyMonger và các trò lừa đảo cho vay nặng lãi khác tương tự như thế này, nó sẽ chỉ tiếp tục.”
Ông dự đoán các điều kiện tài chính và thị trường sẽ khiến một số người tuyệt vọng tìm cách thanh toán hóa đơn hoặc kiếm thêm tiền mặt.
Ông nói: “Giống như chúng ta đã thấy các vụ lừa đảo cho vay nặng lãi gia tăng trong cuộc suy thoái kinh tế vừa qua, gần như chắc chắn rằng chúng ta sẽ thấy mô hình trộm cắp và tống tiền này tiếp tục diễn ra vào năm 2023.”
