RedWing: Dịch vụ Malware-as-a-Service mới nhắm mục tiêu gian lận ngân hàng trên Android
Các nhà nghiên cứu bảo mật vừa phát hiện RedWing, một loại malware Android được rao bán dưới dạng dịch vụ (MaaS) trên Telegram, cho phép kẻ tấn công kiểm soát thiết bị và đánh cắp thông tin tài chính...
Một chiến dịch malware mới trên Android mang tên RedWing đang được rao bán công khai trên Telegram như một dịch vụ trọn gói dành cho tội phạm mạng. Công cụ này cho phép ngay cả những kẻ tấn công có trình độ kỹ thuật thấp cũng có thể chiếm quyền kiểm soát điện thoại, đánh cắp thông tin đăng nhập ngân hàng và chiếm đoạt các mã xác thực một lần (OTP).
Table Of Content
Theo phân tích từ zLabs của Zimperium, RedWing được xem là một biến thể mới của Oblivion – một công cụ rent-a-malware từng được ghi nhận vào đầu năm nay với giá thuê khoảng 300 USD mỗi tháng. RedWing được đóng gói như một sản phẩm hoàn chỉnh, đi kèm với các gói đăng ký, hướng dẫn sử dụng chi tiết và video đào tạo.
Cơ chế lây nhiễm và khả năng kiểm soát
Quá trình tấn công thường bắt đầu bằng các liên kết phishing dẫn đến những trang web giả mạo cửa hàng ứng dụng. Kẻ tấn công có thể tùy chỉnh giao diện giống hệt Google Play, Samsung Galaxy Store hoặc AppGallery, thậm chí tạo ra các đánh giá và lượt tải giả để tạo lòng tin. Khi ứng dụng được cài đặt, nó sẽ yêu cầu người dùng cấp các quyền nhạy cảm thông qua các thông báo giả mạo, bao gồm:
- Tắt giới hạn pin để chạy ngầm.
- Thiết lập ứng dụng làm trình xử lý tin nhắn mặc định.
- Kích hoạt quyền Accessibility (Dịch vụ hỗ trợ) để đọc màn hình và điều khiển thiết bị từ xa.
Sau khi chiếm được quyền kiểm soát, RedWing có thể thực hiện hàng loạt hành vi độc hại như: hiển thị các lớp phủ (overlay) giả mạo để đánh cắp mật khẩu ngân hàng, đọc tin nhắn OTP, chuyển hướng cuộc gọi đến của nạn nhân, ghi lại thao tác bàn phím (keylogger) và thậm chí là phát trực tiếp màn hình điện thoại cho kẻ tấn công.
Mối đe dọa từ tội phạm mạng
Dữ liệu từ Zimperium cho thấy RedWing đang nhắm mục tiêu vào 82 tổ chức tài chính, với trọng tâm là các ngân hàng tại Nga. Các chuyên gia nhận định đây là một phần trong xu hướng gian lận trực tiếp trên thiết bị (on-device fraud), nơi kẻ tấn công can thiệp trực tiếp vào phiên làm việc của nạn nhân thay vì chỉ đánh cắp mật khẩu.
Khuyến nghị bảo mật
RedWing không khai thác các lỗ hổng zero-day mà dựa vào việc người dùng cài đặt ứng dụng từ nguồn không chính thống và cấp quyền quá mức. Để phòng tránh, người dùng cần:
- Chỉ cài đặt ứng dụng từ các cửa hàng chính thức.
- Cẩn trọng với các yêu cầu cập nhật qua tin nhắn hoặc liên kết lạ.
- Không cấp các quyền nhạy cảm như Accessibility hoặc quyền quản lý tin nhắn cho các ứng dụng không rõ nguồn gốc.
- Cảnh giác với các ứng dụng tự động ẩn biểu tượng sau khi cài đặt.
Đối với các doanh nghiệp, việc quản lý thiết bị tập trung (MDM) để chặn sideloading và giám sát các ứng dụng yêu cầu quyền Accessibility là biện pháp phòng thủ hiệu quả nhất.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.