MinhSec
Writer
Một mối đe dọa Android mới vừa được các chuyên gia ThreatFabric phát hiện: Sturnus một trojan ngân hàng tinh vi có khả năng vượt qua nhiều lớp bảo mật hiện nay, bao gồm cả mã hóa đầu cuối của WhatsApp, Telegram và Signal.
Được đặt theo tên loài chim sáo đá vì cách giao tiếp “ồn ào và hỗn loạn”, Sturnus cho thấy một mức độ nguy hiểm vượt xa các loại phần mềm độc hại ngân hàng từng thấy trước đây.
Khi người dùng mở ứng dụng nhắn tin (đã được giải mã trên màn hình), Sturnus sẽ:
Chuyên gia bảo mật Aditya Sood nhận định Sturnus đặc biệt nguy hiểm vì sử dụng nhiều lớp mã hóa (plain-text + RSA + AES) khi giao tiếp với máy chủ điều khiển C2. Điều này giúp nó:
Khuyến cáo: tuyệt đối không cài APK từ nguồn ngoài Google Play, và nếu nghi ngờ bị nhiễm, cần theo dõi ngay các dấu hiệu bất thường trên thiết bị.(hackread.com)
Được đặt theo tên loài chim sáo đá vì cách giao tiếp “ồn ào và hỗn loạn”, Sturnus cho thấy một mức độ nguy hiểm vượt xa các loại phần mềm độc hại ngân hàng từng thấy trước đây.
Cách Sturnus vượt qua mã hóa đầu cuối và đánh cắp dữ liệu ngân hàng
Dù các ứng dụng nhắn tin dùng mã hóa đầu cuối, Sturnus không hack vào hệ thống mã hóa. Thay vào đó, nó lợi dụng Dịch vụ Trợ năng (Accessibility Service) một quyền hệ thống cực mạnh trên Android.Khi người dùng mở ứng dụng nhắn tin (đã được giải mã trên màn hình), Sturnus sẽ:
- đọc toàn bộ nội dung tin nhắn trực tiếp từ thiết bị
- xem danh bạ
- theo dõi tin nhắn đến đi theo thời gian thực
- tạo màn hình đăng nhập ngân hàng giả (HTML overlay) cực giống thật
- ghi lại mọi thao tác chạm và nhập liệu bằng keylogger nâng cao
- chiếm quyền điều khiển từ xa để tự động thực hiện giao dịch
- bật màn hình đen để che giấu hoạt động gian lận trong nền
Mục tiêu và mức độ nguy hiểm
Theo ThreatFabric, Sturnus đang trong giai đoạn thử nghiệm nhưng đã hoạt động đầy đủ chức năng. Mục tiêu ban đầu là các tổ chức tài chính tại Nam và Trung Âu, nhưng cấu trúc của nó cho thấy kế hoạch mở rộng quy mô tấn công toàn cầu.Chuyên gia bảo mật Aditya Sood nhận định Sturnus đặc biệt nguy hiểm vì sử dụng nhiều lớp mã hóa (plain-text + RSA + AES) khi giao tiếp với máy chủ điều khiển C2. Điều này giúp nó:
- hòa trộn với lưu lượng mạng bình thường
- tránh bị phát hiện bởi công cụ bảo mật
- gây khó khăn cho việc phân tích kỹ thuật
Khuyến cáo: tuyệt đối không cài APK từ nguồn ngoài Google Play, và nếu nghi ngờ bị nhiễm, cần theo dõi ngay các dấu hiệu bất thường trên thiết bị.(hackread.com)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Sửa lần cuối bởi điều hành viên: