Cảnh báo phần mềm Android độc hại dưới dạng trình nhắn tin hoặc ứng dụng tiền điện tử

P.V

30/10/2019 16:48:59

Theo báo cáo Q3/2019 của Kaspersky, đang hiện diện một phần mềm Android độc hại ngụy trang dưới dạng trình nhắn tin di động hoặc ứng dụng tiền điện tử.

Theo đó, trong số những hoạt động mới được các nhà nghiên cứu của Kaspersky theo dõi, có sự hiện diện của phần mềm độc hại Android ngụy trang dưới dạng trình nhắn tin di động hoặc ứng dụng tiền điện tử.

Sau khi hợp tác chặt chẽ với Đội phản ứng khẩn cấp cộng đồng (CERT) Hàn Quốc để vô hiệu hóa máy chủ của hacker, Kaspersky đã có thể điều tra mã độc mới cũng như phát hiện mối quan hệ của nó với KONNI - một chủng mã độc Windows từng được sử dụng trước đây.

Mã độc này cũng được biết đến với việc nhắm mục tiêu vào tiền điện tử bằng cách triển khai đầy đủ các tính năng để kiểm soát thiết bị Android bị nhiễm độc cũng như đánh cắp tiền điện tử cá nhân khi người dùng sử dụng các tính năng này.

Cùng đó, báo cáo Q3/2019 của Kaspersky cũng công bố phát hiện về nhóm APT khét tiếng liên tục thay đổi công cụ để tấn công ngân hàng. Cụ thể, Kaspersky đã theo dõi BlueNoroff - tập đoàn tài chính của nhóm APT khét tiếng Lazarus, gây lây nhiễm cho một ngân hàng ở Myanmar trong Q3 2019.  Với cảnh báo kịp thời, công ty an ninh mạng toàn cầu đã gửi tới ngân hàng và các nhà nghiên cứu liên quan những thông tin giá trị về phương thức những kẻ tấn công truy cập máy chủ sử dụng, chẳng hạn như các kỹ sư thuộc hệ thống ngân hàng hiện đang tương tác với Hiệp hội viễn thông liên ngân hàng và tài chính quốc tế (SWIFT - Society for Worldwide Interbank and Financial Telecommunication).

Kaspersky cũng phát hiện ra các chiến thuật mà BlueNoroff đã thực hiện để tránh bị phát hiện như sử dụng và liên tục thay đổi tập lệnh Powershell. BlueNoroff cũng sử dụng phần mềm độc hại rất tinh vi có thể hoạt động như backdoor thụ động hoặc chủ động, hoặc thậm chí là một công cụ tunnel, tùy thuộc vào tham số dòng lệnh.

Cũng trong Q3/2019, Báo cáo ghi nhận các hoạt động của nhóm Andariel APT - một nhóm phụ khác của Lazarus. Nhóm này đã tiến hành những nỗ lực mới để xây dựng cơ sở hạ tầng C2 nhắm vào máy chủ Weblogic thông qua hoạt động khai thác CVE-2017-10271. Những kẻ tấn công đã thành công trong việc cấy mã độc vào chữ ký hợp pháp thuộc sự quản lý của một nhà cung cấp phần mềm bảo mật Hàn Quốc. Chữ ký chứa mã độc đã bị thu hồi nhờ phản ứng nhanh của CERT Hàn Quốc.

Thường tập trung vào hoạt động gián điệp địa chính trị và tình báo tài chính ở Hàn Quốc, Andariel cũng đang sử dụng một loại cửa hậu hoàn toàn mới được gọi là ApolloZeus. Cửa hậu phức tạp và kín đáo này sử dụng shellcode tương đối lớn để khiến việc phân tích trở nên khó khăn hơn.

Dựa vào điều tra của Kaspersky, tấn công của Andariel nằm trong giai đoạn chuẩn bị cho một chiến dịch mới sẽ diễn ra.

Ông Costin Raiu, Giám đốc Nhóm nghiên cứu & phân tích toàn cầu của Kaspersky cho biết: "Các cuộc tấn công nhắm mục tiêu chống lại tổ chức tài chính sử dụng nhiều kỹ thuật tinh vi - trước đây chỉ thấy trong các cuộc tấn công APT - với cơ sở hạ tầng được sử dụng để “rửa” sản phẩm bị đánh cắp. Trong Q3, chúng ta đã thấy các tác nhân đe dọa tiên tiến như Andariel và BlueNoroff của Lazarus nỗ lực thực hiện tấn công vào - không chỉ ngân hàng mà là các công ty đầu tư và tiền ảo. Chúng tôi khuyên tất cả doanh nghiệp khu vực APAC nên cảnh giác và đề phòng chống lại các cuộc tấn công tương tự như vậy”.