Tin tặc dùng các trạm thu phát sóng giả để phát tán phần mềm độc hại trên Android
16:49 | 27/04/2017 | HACKER / MALWARE
Tin tặc Trung Quốc đã nâng thủ đoạn lừa đảo qua SMS lên một tầm cao mới, bằng việc sử dụng các trạm thu phát sóng di động (BTS) giả để gửi đi các tin nhắn lừa người dùng cài đặt phần mềm độc hại tấn công các giao dịch ngân hàng trên Android.
Các nhà nghiên cứu bảo mật của Check Point Software Technologies đã phát hiện tin tặc Trung Quốc sử dụng những trạm BTS giả để phân phối "Swearing Trojan", một loại mã độc trên Android tấn công các giao dịch ngân hàng nhưng có vẻ vô hại, sau khi các tác giả của mã độc này bị cảnh sát bắt giữ. Đây là trường hợp đầu tiên được ghi nhận trong đó tội phạm sử dụng các trạm BTS để phát tán mã độc.
Các tin nhắn giả giống như chúng được gửi tới từ các nhà cung cấp dịch vụ viễn thông China Mobile và China Unicom, chứa những lời lẽ rất thuyết phục cùng với liên kết để tải xuống tệp cài đặt (APK) của mã độc. Vì Google Play Store bị cấm ở Trung Quốc nên các tin nhắn SMS có thể dễ dàng lừa người dùng cài đặt ứng dụng từ những nguồn không tin cậy.
Sau khi được cài đặt, mã độc Swearing lại tự phát tán bằng cách gửi tin nhắn SMS tới các liên hệ trong danh bạ của nạn nhân. Tuy nhiên, do khoảng cách tối đa của trạm BTS là 10-22 dặm nên cách làm này thường áp dụng cho những cuộc tấn công tinh vi, có chủ đích.
Được các nhà nghiên cứu của Tencent Security phát hiện năm ngoái, Swearing Trojan có khả năng đánh cắp thông tin đăng nhập vào hệ thống ngân hàng và các thông tin nhạy cảm khác của nạn nhân, vượt qua các biện pháp xác thực hai yếu tố bằng cách thay thế ứng dụng SMS chuẩn bằng một phiên bản độc hại có chức năng đọc lén các tin nhắn đến. Để tránh bị phát hiện, mã độc này không kết nối tới một máy chủ điều khiển nào, mà dùng SMS hay thư điện tử để gửi dữ liệu đánh cắp về cho tin tặc.
Dù chiến dịch lây nhiễm mã độc này thường chỉ nhắm tới người dùng ở Trung Quốc, nhưng các nhà nghiên cứu tại Check Point cảnh báo rằng mối đe doạ có thể nhanh chóng lan ra toàn cầu khi các loại mã độc khác “học tập” thủ đoạn mới này. Ban đầu, chỉ có các địa chỉ thư điện tử 21cn.com được dùng để nhận thông tin đánh cắp, nhưng sau đó các cuộc tấn công mới đã sử dụng thêm các địa chỉ thư điện tử khác từ 163.com, sina.cn, qq.com, và các dịch vụ thư điện tử được host trên Alibaba Cloud và những dịch vụ đám mây khác.
