Năm ứng dụng Android nhỏ giọt độc hại với hơn 130.000 lượt cài đặt tích lũy đã được phát hiện trên Cửa hàng Google Play phân phối các trojan ngân hàng như SharkBot và Vultur, có khả năng đánh cắp dữ liệu tài chính và thực hiện gian lận trên thiết bị.
"Những giọt này tiếp tục sự phát triển không ngừng của các ứng dụng độc hại lẻn vào cửa hàng chính thức", công ty bảo mật di động ThreatFabric của Hà Lan nói với The Hacker VN trong một tuyên bố.
"Sự phát triển này bao gồm việc tuân theo các chính sách mới được giới thiệu và giả mạo làm người quản lý tệp và khắc phục các hạn chế bằng cách tải sang một bên tải trọng độc hại thông qua trình duyệt web."
Mục tiêu của những giọt này bao gồm 231 ứng dụng ví ngân hàng và tiền điện tử từ các tổ chức tài chính ở Ý, Anh, Đức, Tây Ban Nha, Ba Lan, Áo, Mỹ, Úc, Pháp và Hà Lan.
Các ứng dụng dropper trên các cửa hàng ứng dụng chính thức như Google Play ngày càng trở thành một kỹ thuật phổ biến và hiệu quả để phân phối phần mềm độc hại ngân hàng cho những người dùng không nghi ngờ, ngay cả khi các tác nhân đe dọa đằng sau các chiến dịch đó liên tục tinh chỉnh chiến thuật của họ để vượt qua các hạn chế do Google áp đặt.
Danh sách các ứng dụng độc hại, bốn trong số đó vẫn có sẵn trên thị trường kỹ thuật số, dưới đây -
- Codice Fiscale 2022 (com.iatalytaxcode.app) - 10.000+ lượt tải xuống
- Trình quản lý tệp nhỏ, Lite (com.paskevicss752.usurf) - không tải xuống
- My Finances Tracker (com.all.finance.plus) - 1.000+ lượt tải xuống
- Khôi phục âm thanh, hình ảnh và video (com.umac.recoverallfilepro) - 100.000+ lượt tải xuống
- Zetter Authenticator (com.zetter.fastchecking) - 10.000+ lượt tải xuống
Làn sóng tấn công SharkBot mới nhất nhắm vào người dùng ngân hàng Ý kể từ đầu tháng 10 năm 2022 năm đã kéo theo việc sử dụng ống nhỏ giọt giả mạo để xác định mã số thuế trong nước ("Codice Fiscale 2022").
Mặc dù Chính sách chương trình dành cho nhà phát triển của Google giới hạn việc sử dụng quyền REQUEST_INSTALL_PACKAGES để ngăn không cho nó bị lạm dụng để cài đặt các gói ứng dụng tùy ý, nhưng trình nhỏ giọt, sau khi được khởi chạy, sẽ vượt qua rào cản này bằng cách mở một trang cửa hàng Google Play giả mạo danh sách ứng dụng, dẫn đến việc tải xuống phần mềm độc hại dưới vỏ bọc cập nhật.
Thuê ngoài truy xuất phần mềm độc hại cho trình duyệt không phải là phương pháp duy nhất được các tác nhân tội phạm áp dụng. Trong một trường hợp khác được phát hiện bởi ThreatFabric, ứng dụng nhỏ giọt được đặt làm ứng dụng quản lý tệp, theo chính sách sửa đổi của Google, là một danh mục được phép có quyền REQUEST_INSTALL_PACKAGES.
Cũng được phát hiện là ba ống nhỏ giọt cung cấp các tính năng được quảng cáo nhưng cũng đi kèm với một chức năng bí mật khiến người dùng cài đặt bản cập nhật khi mở ứng dụng và cấp cho họ quyền cài đặt ứng dụng từ các nguồn không xác định, dẫn đến việc phân phối Vultur.
Biến thể mới của trojan đáng chú ý vì đã thêm khả năng ghi lại rộng rãi các yếu tố giao diện người dùng và các sự kiện tương tác (ví dụ: nhấp chuột, cử chỉ, v.v.), mà ThreatFabric cho biết có thể là một giải pháp thay thế cho việc sử dụng cờ cửa sổ FLAG_SECURE bởi các ứng dụng ngân hàng để ngăn chúng bị chụp trong ảnh chụp màn hình.
Những phát hiện từ ThreatFabric cũng được đưa ra khi Cyble phát hiện ra một phiên bản nâng cấp của trojan Drinik Android nhắm vào 18 ngân hàng Ấn Độ bằng cách mạo danh ứng dụng cơ quan thuế chính thức của đất nước để hút thông tin cá nhân thông qua việc lạm dụng API dịch vụ trợ năng.
"Phân phối thông qua các ống nhỏ giọt trên Google Play vẫn là cách 'giá cả phải chăng' và có thể mở rộng nhất để tiếp cận nạn nhân đối với hầu hết các tác nhân ở các cấp độ khác nhau," công ty lưu ý.
"Trong khi các chiến thuật tinh vi như phân phối tấn công theo định hướng qua điện thoại đòi hỏi nhiều tài nguyên hơn và khó mở rộng quy mô, các công cụ nhỏ giọt trên các cửa hàng chính thức và bên thứ ba cho phép các tác nhân đe dọa tiếp cận nhiều đối tượng không nghi ngờ với những nỗ lực hợp lý."