Các chuyên gia bảo mật tại Threat Fabric (Hà Lan) vừa phát hiện một trojan trên Android với tên gọi Vultur, có khả năng ghi lại mọi hoạt động trên màn hình điện thoại, từ đó đánh cắp những thông tin cá nhân quan trọng của người dùng, bao gồm tài khoản ngân hàng và tiền điện tử.
Cơ chế hoạt động của trojan Vultur
Trojan Vultur sử dụng công nghệ chia sẻ màn hình từ xa của Virtual Network Computing (VNC), để có thể thu thập được toàn bộ nội dung cũng như các thao tác của người dùng trên thiết bị, dữ liệu sẽ được gửi về máy chủ của kẻ tấn công để thực hiện các hành vi gian lận.
Trong báo cáo của Threat Fabric, Vultur nhắm mục tiêu đến các ứng dụng của ngân hàng và ví tiền điện tử từ các tổ chức ở Italia, Australia và Tây Ban Nha. Trojan này được phát tán thông qua Google Play Store, dưới dạng ứng dụng bảo mật có tên gọi Protection Guard. Tại thời điểm phát hiện, ứng dụng đã có hơn 5.000 lượt cài đặt.
“Lần đầu tiên chúng tôi phát hiện một trojan trên Android sử dụng tính năng quay màn hình và ghi lại bàn phím để tự động thu thập thông tin đăng nhập của người dùng”, các chuyên gia của Threat Fabric cho biết.
Thông thường một số trojan ngân hàng khác như MysteryBot, Grandoreiro, Banker.BR và Vizom đều dựa trên các cuộc tấn công lớp phủ HTML để đánh cắp thông tin, một phiên bản giả mạo trang đăng nhập của ngân hàng sẽ được tạo ra và sau đó phủ nó lên trên ứng dụng gốc, đánh lừa nạn nhân tiết lộ mật khẩu của họ và các thông tin cá nhân nhạy cảm khác. Tuy nhiên, phương thức này thường yêu cầu kẻ tấn công phải đầu tư thời gian và công sức hơn để tạo nhiều lớp phủ có khả năng đánh lừa người dùng.
Trojan Vultur lại có hướng tiếp cận khác khi không sử dụng lớp phủ HTML phổ biến, thay vào đó lạm dụng các tính năng hỗ trợ của Android như Accessibility Services để có được các quyền truy cập cần thiết, sau đó tiến hành thu thập thông tin từ người dùng.
Trojan Vultur lạm dụng tính năng Accessibility Services trên Android để lây nhiễm
Trong một báo cáo mới nhất, hãng bảo mật Cleafy (Italy) thông báo rằng đã phát hiện ra UBEL, một biến thể của mã độc Oscorp, sử dụng WebRTC để tương tác với điện thoại Android theo thời gian thực. Trojan Vultur đã áp dụng một phương thức tương tự, nó tận dụng quyền truy cập để ghi lại các thao tác gõ phím và sử dụng tính năng chia sẻ màn hình của VNC để theo dõi màn hình trên điện thoại, do đó không cần đăng ký một thiết bị mới và khiến các ngân hàng khó phát hiện gian lận.
Hơn nữa, Vultur sử dụng ngrok (cho phép hiển thị máy chủ cục bộ ở phía sau tường lửa ra ngoài mạng internet thông qua các đường hầm an toàn) để cung cấp quyền truy cập từ xa vào VNC trên điện thoại. Ngoài ra, nó cũng thiết lập kết nối với máy chủ C