Phát hiện mã độc SharkBot núp bóng ứng dụng diệt virus trên Android
SharkBot núp bóng ứng dụng diệt virus trên Google play
SharkBot cũng như các thành phần mã độc hại khác như TeaBot, FluBot và Oscorp (UBEL), nằm trong danh mục các trojan tài chính có khả năng đánh cắp thông tin đăng nhập để chuyển tiền từ các thiết bị bị lây nhiễm qua việc phá vỡ các cơ chế xác thực đa yếu tố. Hình thức này xuất hiện lần đầu tiên vào tháng 11/2021.
Theo các nhà phân tích phần mềm độc hại tại công ty an ninh mạng NCC Group (Vương Quốc Anh), SharkBot hoạt động với bốn chức năng chính:
Thứ nhất: Injections (overley attack). SharkBot có thể lấy cắp thông tin đăng nhập bằng cách hiển thị nội dung web (WebView) với trang đăng nhập giả mạo (phishing) ngay khi phát hiện ứng dụng ngân hàng chính thức được mở.
Thứ hai: Keylogging. SharkBot có thể lấy cắp thông tin đăng nhập bằng cách ghi nhật ký các sự kiện trợ năng (liên quan tới các thay đổi trường văn bản và các nút được nhấp vào) và gửi các nhật ký này đến máy chủ command and control (C2).
Thứ ba: Chặn SMS. SharkBot có thể chặn/ẩn tin nhắn SMS (đánh cắp mã OTP mà người dùng không hề hay biết).
Thứ tư: Điều khiển từ xa/ATS. SharkBot có thể chiếm toàn quyền kiểm soát thiết bị Android và điều khiển nó từ xa (thông qua Accessibility Services).
Điểm nổi bật của SharkBot là ở khả năng thực hiện các giao dịch trái phép thông qua Hệ thống chuyển giao tự động (ATS), trái ngược với TeaBot, yêu cầu người dùng trực tiếp tương tác với các thiết bị bị nhiễm để tiến hành các hoạt động độc hại.
SharkBot lạm dụng đặc quyền Accessibility trên Android và sau đó tự cấp thêm quyền cho nó nếu cần. Bằng cách này, SharkBot có thể phát hiện khi nào người dùng mở ứng dụng ngân hàng sau đó thực hiện việc injection trang web phù hợp và đánh cắp thông tin của người dùng.
Ngoài ra, SharkBot còn có thể nhận lệnh từ máy chủ C2 để thực hiện các hành động khác như sau:
- Gửi SMS tới một số điện thoại.
- Thay đổi trình quản lý SMS.
- Tải xuống file từ một URL được chỉ định.
- Nhận file cấu hình đã được cập nhật.
- Gỡ cài đặt ứng dụng khỏi thiết bị.
- Tắt tính năng tối ưu hóa pin.
- Hiển thị overlay phục vụ lừa đảo (phishing).
- Kích hoạt hoặc dừng ATS.
- Đóng một ứng dụng cụ thể (ví dụ như công cụ diệt virus) khi người dùng cố gắng mở nó.
Một trong những điểm khác biệt đáng chú ý giữa SharkBot và các trojan ngân hàng Android khác là việc sử dụng các thành phần tương đối mới để tận dụng tính năng "Direct reply" cho các thông báo. SharkBot có thể chặn các thông báo mới và trả lời chúng bằng các thông điệp tới trực tiếp từ máy chủ C2.
Mã nguồn của tính năng tự động trả lời thông báo
NCC lưu ý rằng SharkBot sử dụng tính năng này để cài đặt các payload nhiều tính năng lên thiết bị bị xâm nhập thông qua một URL Bit.ly rút rọn.
Ban đầu, ứng dụng diệt virus giả mạo sẽ chỉ chứa một phiên bản SharkBot thu gọn để giảm nguy cơ bị phát hiện và vượt qua lớp phòng thủ tự động của Google Play. Sau đó, thông qua tính năng "Direct reply", phiên bản chính thức của SharkBot với đầy đủ tính năng bao gồm cả ATS sẽ được tải xuống và cài đặt.
Giải mã lệnh tải mã độc bổ sung được gửi từ máy chủ C2
Máy chủ C2 của SharkBot dựa trên một thuật toán tạo tên miền (DGA) nên việc phát hiện và ngăn chặn các tên miền cấp lệnh cho SharkBot trở nên khó khăn hơn nhiều.
Danh sách các ứng dụng độc hại khác với lượt cài đặt khoảng 57.000 lần gồm có:
- Antivirus, Super Cleaner (com.abbondioendrizzi.antivirus.supercleaner) – 1,000+ lượt cài đặt.
- Atom Clean-Booster, Antivirus (com.abbondioendrizzi.tools.supercleaner) – 500+ lượt cài đặt.
- Alpha Antivirus, Cleaner (com.pagnotto28.sellsourcecode.alpha) – 5,000+ lượt cài đặt.
- Powerful Cleaner, Antivirus (com.pagnotto28.sellsourcecode.supercleaner) – 50,000+ lượt cài đặt.
Để bảo vệ bản thân trước những trojan nguy hiểm như SharkBot người dùng không nên tin tưởng vào các ứng dụng trên Google Play Store. Hãy cài ít ứng dụng nhất có thể trên thiết bị của mình. Nói cách khác, người dùng chỉ nên cài các ứng dụng thật sự cần thiết cho cuộc sống và công việc.
Trí Công