Phần mềm độc hại FakeBank tấn công khắp các ngân hàng

12/01/2018 - 10:01

PNO - Các ngân hàng tại Nga đang là mục tiêu tấn công của một phần mềm độc hại có tên gọi FakeBank, đánh cắp toàn bộ thông tin khách hàng sử dụng ngân hàng trực tuyến và toàn bộ tiền trong tài khoản mà không hề bị phát hiện.

Theo hãng bảo mật Trend Micro, vào năm ngoái hãng này đã tìm thấy phần mềm độc hại từ Fanta SDK tấn công vào các dữ liệu khách hàng tại ngân hàng Nga Sberbank.

Và giờ đây, một phần mềm độc hại tương tự lại tiếp tục được phát hiện với mục tiêu mở rộng ra nhiều ngân hàng tại quốc gia này. Những phần mềm độc hại kể trên được gọi chung là FakeBank.

Cho đến nay, Trend Micro đã phát hiện hàng ngàn phần mềm độc hại thuộc nhóm phần mềm độc hại này. Không chỉ Sberbank, các ngân hàng khác của Nga như Letobank và VTB24 đều là mục tiêu công kích của các phần mềm độc hại FakeBank. Phần lớn chúng được gửi dưới dạng các SMS/MMS để thu hút người dùng tải xuống.

Phan mem doc hai FakeBank tan cong khap cac ngan hang
Tên các phần mềm độc hại tấn công vào ngân hàng tại Nga.

Cơ chế hoạt động của FakeBank là yêu cầu người dùng tải xuống phần mềm để chặn SMS/MMS làm phiền. Sau đó, tin tặc sẽ xâm nhập và đánh cắp tiền từ người dùng bị nhiễm phần mềm độc hại bằng hệ thống ngân hàng di động của họ. Các phần mềm độc hại này đã lan rộng toàn nước Nga và ảnh hưởng đến những quốc gia nói tiếng Nga khác.

Phan mem doc hai FakeBank tan cong khap cac ngan hang
Biểu đồ các quốc gia xuất hiện phần mềm độc hại FakeBank.

Sau khi xâm nhập, phần mềm độc hại này sẽ kiểm soát chức năng đóng mở mạng của thiết bị và âm thầm kết nối với Internet. Điều này có nghĩa là nó có thể gửi thông tin tới máy chủ C&C mà người dùng không hề hay biết. Nó sẽ tự động thoát mà không thực hiện bất kì hành động nguy hiểm nào nếu trên thiết bị có cài đặt phần mềm bảo mật. Đây là điều khiến phần mềm độc hại này vẫn chưa bị phát hiện.

Phan mem doc hai FakeBank tan cong khap cac ngan hang
 
Phan mem doc hai FakeBank tan cong khap cac ngan hang
Các ứng dụng độc hại được tải xuống thu thập thông tin số dư từ tài khoản ngân hàng liên kết với số điện thoại.

Phần mềm độc hại cũng đánh cắp thông tin của thiết bị và tải nó về máy chủ C&C. Các dữ liệu cá nhân được thu thập bao gồm số điện thoại cùa người dùng, danh sách ứng dụng ngân hàng được cài đặt, số dư trên bất kỳ tài khoản ngân hàng được liên kết nào, và thậm chí là cả thông tin về vị trí người dùng.

Để đảm bảo sự thành công khi tấn công vào thiết bị, phần mềm độc hại này sẽ cấm người dùng mở cài đặt thiết bị để ngăn chặn việc gỡ cài đặt. Hảng bảo mật Trend Micro cũng phát hiện một số mẫu phần mềm yêu cầu quyền quản trị viên từ người dùng, đều này cho phép phần mềm độc hại truy cập vào thiết bị.

Các phần mềm độc hại thay thế chương trình quản lý SMS mặc định bằng chính nó và ẩn biểu tượng đi. Với cách này, phần mềm độc hại sẽ nhận tất cả các tin nhắn và phân tích chúng, thậm chí xóa các tin nhắn hệ thống. Điều này có nghĩa là bất kỳ xác minh hoặc truy vấn nào từ ngân hàng cho người dùng đều có thể bị chặn và xóa. Nó thậm chí có thể gọi một số điện thoại được chỉ định, gửi SMS và đánh cắp các bản ghi cuộc gọi cũng như danh sách liên lạc.

Phan mem doc hai FakeBank tan cong khap cac ngan hang
 
Phan mem doc hai FakeBank tan cong khap cac ngan hang
Phần mềm độc hại cài đặt và thay thế ứng dụng SMS thông thường trên thiết bị.

Điều nguy hiểm nhất là tất cả tin nhắn thông báo tiền bị chuyển khoản tới điện thoại đều bị chặn. Bên cạnh đó, toàn bộ thông tin tài khoản ngân hàng của người dùng sẽ bị đánh cắp. Phầm mềm độc hại thiết lập lại toàn bộ thông tin mật khẩu tài khoản ngân hàng thông qua nhận SMS chứa mã bảo mật từ ngân hàng và bắt đầu thực hiện chuyển tiền.

FakeBank cũng ngăn người dùng mở ứng dụng hợp pháp của ngân hàng mục tiêu để chặn bất kỳ sửa đổi số điện thoại hoặc số thẻ ngân hàng. Trend Micro cho rằng tin tặc rất quen thuộc với định dạng và quá trình chuyển đổi thư của ngân hàng, bởi tất cả các thông báo SMS thanh toán đều được lưu và ghi lại bởi máy chủ C&C.

Viện Tiêu chuẩn và Kỹ thuật quốc gia Hoa Kỳ (NIST) đã cảnh báo các mối nguy hiểm bằng việc sử dụng phương pháp xác thực hai yếu tố. Người dùng thiết bị di động nên chọn các phương tiện xác thực khác được cung cấp từ các ứng dụng và dịch vụ mà họ sử dụng.

Công ty bảo mật cũng khuyến cáo người dùng nên thận trọng khi tải xuống các ứng dụng từ các nguồn không đáng tin cậy. Các thiết bị nên được thiết lập và cài đặt các biện pháp bảo mật để giảm thiểu rủi ro từ phần mềm độc hại. 

Mai Anh

 

news_is_not_ads=
TIN MỚI