Các tác nhân độc hại đang dùng đến các chiến thuật lừa đảo bằng giọng nói (vishing) để lừa nạn nhân cài đặt phần mềm độc hại Android trên thiết bị của họ, nghiên cứu mới từ ThreatFabric tiết lộ.
Công ty bảo mật di động Hà Lan cho biết họ đã xác định được một mạng lưới các trang web lừa đảo nhắm vào người dùng ngân hàng trực tuyến Ý được thiết kế để nắm giữ chi tiết liên hệ của họ.
Phân phối tấn công theo định hướng điện thoại (TOAD), như kỹ thuật kỹ thuật xã hội được gọi, liên quan đến việc gọi cho các nạn nhân bằng cách sử dụng thông tin đã thu thập trước đó từ các trang web lừa đảo.
Mặt khác, người gọi, người có mục đích trở thành nhân viên hỗ trợ cho ngân hàng, hướng dẫn cá nhân cài đặt một ứng dụng bảo mật và cấp cho nó các quyền mở rộng, trong khi trên thực tế, đó là phần mềm độc hại nhằm truy cập từ xa hoặc tiến hành gian lận tài chính.
Trong trường hợp này, nó dẫn đến việc triển khai một phần mềm độc hại Android có tên Copybara, một trojan di động được phát hiện lần đầu tiên vào tháng 11 năm 2021 và chủ yếu được sử dụng để thực hiện gian lận trên thiết bị thông qua các cuộc tấn công lớp phủ nhắm vào người dùng Ý. Copybara cũng đã bị nhầm lẫn với một họ phần mềm độc hại khác được gọi là BRATA.
ThreatFabric đánh giá các chiến dịch dựa trên TOAD đã bắt đầu cùng thời gian, cho thấy hoạt động này đã diễn ra trong gần một năm.
Giống như bất kỳ phần mềm độc hại dựa trên Android nào khác, khả năng RAT của Copybara được hỗ trợ bằng cách lạm dụng API dịch vụ trợ năng của hệ điều hành để thu thập thông tin nhạy cảm và thậm chí gỡ cài đặt ứng dụng tải xuống để giảm dấu chân pháp y của nó.
Hơn nữa, cơ sở hạ tầng được sử dụng bởi các tác nhân đe dọa đã được tìm thấy để cung cấp một phần mềm độc hại thứ hai có tên SMS Spy cho phép đối thủ truy cập vào tất cả các tin nhắn SMS đến và chặn mật khẩu một lần (OTP) được gửi bởi các ngân hàng.
Làn sóng tấn công gian lận kết hợp mới đưa ra một khía cạnh mới cho những kẻ lừa đảo để gắn kết các chiến dịch phần mềm độc hại Android thuyết phục vốn đã dựa vào các phương pháp truyền thống như trình giảm cửa hàng Google Play, quảng cáo lừa đảo và smishing.
"Các cuộc tấn công như vậy đòi hỏi nhiều tài nguyên hơn ở phía [các tác nhân đe dọa] và tinh vi hơn để thực hiện và duy trì," nhóm Thông tin về Mối đe dọa Di động (MTI) của ThreatFabric nói với The Hacker News.
"Chúng tôi cũng muốn chỉ ra rằng các cuộc tấn công có chủ đích từ góc độ thành công gian lận rất tiếc là thành công hơn, ít nhất là trong chiến dịch cụ thể này."
Đây không phải là lần đầu tiên các chiến thuật TOAD được sử dụng để sắp xếp các chiến dịch phần mềm độc hại ngân hàng. Tháng trước, MalwareHunterTeam đã trình bày chi tiết một cuộc tấn công tương tự nhắm vào người dùng của ngân hàng Ấn Độ Axis Bank trong nỗ lực cài đặt một kẻ đánh cắp thông tin mạo danh ứng dụng phần thưởng thẻ tín dụng.
"Bất kỳ cuộc gọi đáng ngờ nào cũng nên được kiểm tra kỹ bằng cách gọi cho tổ chức tài chính của bạn", nhóm MTI cho biết và cho biết thêm "các tổ chức tài chính nên cung cấp cho khách hàng của họ kiến thức về các chiến dịch đang diễn ra và nâng cao ứng dụng khách hàng với các cơ chế để phát hiện hoạt động đáng ngờ".
Theo Thehackernews