Phần mềm độc hại này có tên Cerberus – một banking trojan tương đối mới, được phát hiện lần đầu tiên vào năm 2019, chuyên “ký sinh” trên Android, và đặc biệt sở hữu một biệt tài làm nên sự nguy hiểm của nó: Khả năng đánh cắp OTP Authenticator.

So với phiên bản năm ngoái, biến thể hiện tại của Cerberus sở hữu một số khả năng tiên tiến hơn đáng kể. Sau khi xâm nhập thành công vào hệ thống nạn nhân, nó có thể lạm dụng các đặc quyền truy cập để đánh cắp mã 2FA, thu thập dữ liệu từ ứng dụng Authenticator và gửi về cho máy chủ do kẻ tấn công điều khiển.

Nếu bạn chưa biết thì Authenticator là một ứng dụng tạo mã xác minh 2 bước (2FA) trên điện thoại, được Google ra mắt vào năm 2010 như một giải pháp thay thế cho mã xác thực một lần dựa trên SMS truyền thống. Authenticator cung cấp lớp bảo mật tốt hơn cho tài khoản Google của người dùng bằng cách yêu cầu bước xác minh thứ hai khi đăng nhập. Ngoài mật khẩu, bạn sẽ cần mã được tạo bởi ứng dụng Google Authenticator trên điện thoại của mình. Sau các bước thiết lập và liên kết tài khoản, Authenticator sẽ tạo mã OTP dài từ 6-8 chữ số và cung cấp cho người dùng khi họ đăng nhập vào tài khoản tương ứng.

Mã độc Android có khả năng đánh cắp mã OTP

Vậy làm thế nào biến thể Cerberus mới này lại có thể đánh cắp thông tin từ Authenticator. Các chuyên gia đã tìm thấy một loạt tính năng điển hình của các trojan truy cập từ xa (RAT) tiên tiến tồn tại trên mã độc này.

• Nó có thể kết nối từ xa và tự động với một thiết bị bị lây nhiễm.
• Nó có thể thu thập và sử dụng thông tin, dữ liệu của nạn nhân để truy cập vào tài khoản trực tuyến của họ – mối đe dọa lớn đối với các dịch vụ ngân hàng trực tuyến, email, kho lưu trữ, tài khoản truyền thông xã hội, mạng nội bộ, v.v.

Tuy nhiên, tính năng đánh cắp mã 2FA vẫn chưa có mặt trong phiên bản Cerberus hiện đang được quảng cáo và rao bán trên các diễn đàn hack. Do đó các nhà nghiên cứu bảo mật tin rằng biến thể Cerberus mới này vẫn đang trong giai đoạn thử nghiệm, nhưng hoàn toàn có thể sẽ sớm được tung ra trong nay mai.

Google hiện chưa đưa ra bất cứ phản hồi nào về thông tin trên, tuy nhiên các bản vá bảo mật cho Android nói chung cũng như ứng dụng Authenticator trong thời gian tới chắc chắn phải chứa đựng giải pháp “dứt điểm” đối với mã độc này.

Nguồn quantrimang.com

Khóa học Hacker Mũ Trắng – AEH

• Khóa học Chuyên gia An ninh mạng – AN2S
• Khóa học Hacker Mũ Trắng – AEH
• Khóa học Quản trị mạng nâng cao – MCSA

Cụ thể, trang web giả mạo này có tên “Inter VPN” và tự quảng cáo mình là “fastest VPN” nhằm đánh lừa những người nhẹ dạ cả tin. Để thuyết phục những người cảnh giác hơn, website này sẽ tiếp tục hiển thị hình ảnh của máy khách VPN, đây thực sự là hình ảnh của phần mềm VPN Pro hợp pháp, như ảnh chụp màn hình dưới đây.

Trang web giả mạo

Tuy nhiên trong bộ cài của phần mềm VPN Pro này đã được tin tặc đính kèm trojan, nếu bạn download và kích hoạt bộ cài, trojan sẽ lây lan trên hệ thống. Theo phân tích của các chuyên gia bảo mật, bộ cài này sẽ tiếp tục sử dụng tập lệnh AutoHotKey để tải xuống một số loại trojan, trong đó có Vidar và CryptBot.

Tập lệnh AutoHotKey này được thiết kế để khi khởi chạy, nó có thể gửi thông tin tới một địa chỉ độc hại có tên iplogger.org và sau đó tải xuống các tệp thực thi Vidar và CryptBot tùy thuộc vào chiến dịch tấn công đang được phân phối trên trang web.

Tập lệnh AutoHotKey

Khi trojan được tải xuống thành công, chúng sẽ ngay lập tức khởi chạy và thu thập nhiều loại thông tin khác nhau trong hệ thống nạn nhân và gửi đến máy chủ lưu trữ của kẻ tấn công. Dữ liệu bị trojan đánh cắp có thể bao gồm thông tin xác thực của trình duyệt, cookie, ảnh chụp màn hình, tệp văn bản, ví tiền điện tử và nhiều loại thông tin cá nhân nhạy cảm khác. Nguy hiểm hơn, toàn bộ hoạt động trên sẽ được thực hiện trong nền, do đó nạn nhân gần như hoàn toàn không thể phát hiện ra bất cứ sự khác thường nào.

Lưu lượng mã độc CryptBot

Lưu lượng mã độc Vidar 

Để tự bảo vệ bản thân trước hình thức tấn công này, trước tiên bạn phải đảm bảo trang web mà mình sắp truy cập sở hữu URL hợp pháp. Sau đó sử dụng các công cụ quét mã độc như VirusTotal để kiểm tra mức độ an toàn của bất cứ phần mềm nào bạn định download từ trang web đó.

Nguồn quantrimang

Trừ khi hai công ty thực hiện các biện pháp để cải thiện quy trình đánh giá và xem xét lại các hạn chế đối với các ứng dụng tích hợp với thiết bị thông minh của họ, các nhà phát triển xấu có thể khai thác điểm yếu để thu âm thanh từ người dùng.

Ý định sửa đổi

Được gọi là ‘Skills’cho Amazon Alexa và ‘Actions’ cho Google Home, các ứng dụng giọng nói cho các loa thông minh này được kích hoạt bằng cụm từ (‘invocation name’) do nhà phát triển chỉ định để khởi động ứng dụng, thường là tên của ứng dụng.

“Hey Google/Alexa, turn on my Horoscope” – invoking the Horoscope app

Các chức năng của một ‘Skills’ hoặc một ‘Actions’ được gọi thông qua một ‘intent’- cụm từ được đặt có thể có các giá trị vị trí cho các biến tùy chỉnh. Trong nhiều trường hợp, chúng đều được gửi về máy chủ của nhà phát triển.

“Tell me my horoscope for today” – intent with the slot value ‘today’

Người dùng có thể yêu cầu loa thông minh dừng một skills hay là actions, nhưng các nhà nghiên cứu bảo mật tại Phòng thí nghiệm nghiên cứu bảo mật của Đức đã chứng minh rằng ứng dụng có thể bỏ qua ý định này và tiếp tục lắng nghe.

Họ cho thấy rằng ứng dụng độc hại hoạt động theo cách này có thể nhận được tem phê duyệt bảo mật từ cả Google và Amazon và gây nguy hiểm cho quyền riêng tư của người dùng khi âm thanh được chuyển đổi đến máy chủ của bên thứ ba.

Một skill độc hại của Amazon được sử dụng để nghe lén có thể đi kèm với ý định hủy kích hoạt đã sửa đổi mà không tắt nó. Thay vào đó, phiên có thể mở trong một khoảng thời gian xác định.

SRLabs đã đạt được điều này bằng cách thay đổi ý định ‘stop’ để duy trì skill hoạt động thay vì tắt nó đi. Tuy nhiên, người dùng vẫn sẽ nghe thấy thông báo ‘Goodbye’ báo hiệu sự kết thúc của skill.

Để giữ cho loa im lặng trong phiên nghe lén, các nhà nghiên cứu đã thêm chuỗi ký tự Unicode (như “�. “ (U+D801, dot, space) ) đằng sau intent đó.

Trình tự này không thể được phát âm và loa sẽ im lặng thêm vài giây trong khi ứng dụng độc hại lắng nghe cuộc trò chuyện. Thời gian nghe lén có thể được kéo dài bằng cách thêm các ký tự nhiều lần.

Với intent thứ hai được kích hoạt bởi các từ cụ thể, kẻ tấn công có thể ghi lại các câu dưới dạng giá trị vị trí. Điều này sẽ hoạt động như một phương pháp sao lưu để theo dõi người dùng.

Nghe trộm trên Google Home

Các Actions cho Google Home có thể theo dõi lời nói của người dùng lâu hơn vì thiết kế của nó. Bằng cách đặt người dùng vào một vòng lặp, thiết bị sẽ gửi một luồng lời nói được nhận dạng liên tục đến kẻ tấn công mà không cần nhìn trộm để báo hiệu hoạt động của nó.

Loa được thiết kế để chờ khoảng chín giây để nhận giọng nói và dừng lại trong một khoảnh khắc ngắn. Điều này được lặp lại ba lần trước khi hành động bị vô hiệu hóa. Khi lời nói được phát hiện, số lượng được đặt lại.

Việc hack này có thể xảy ra bằng cách thay đổi mục đích chính là kết thúc bằng âm thanh tai nghe ‘Bye‘, thường được sử dụng để đánh dấu sự kết thúc của ứng dụng giọng nói.

Nhiều ‘noInputPrompts‘ với phần tử SSML hoặc chuỗi ký tự Unicode không thể phát âm sẽ làm im lặng người nói trong khi hành động nghe lén tiếp tục hoạt động chuyển lời nói thành văn bản.

Thay đổi intent độc hại xảy ra sau khi các ứng dụng vượt qua đánh giá ban đầu từ Amazon và Google và các sửa đổi không kích hoạt xác minh thứ hai.

Lừa đảo mật khẩu

Sử dụng các thủ thuật tương tự, SRLabs đã nói về một kịch bản tấn công khác có thể đánh lừa người dùng có thể dễ dàng “đưa” mật khẩu của họ cho kẻ tấn công.

Với mục đích này, sự im lặng do các ký tự Unicode đưa ra được cắt ngắn để phát một tin nhắn lừa đảo.

“Một bản cập nhật bảo mật quan trọng có sẵn cho thiết bị của bạn. Vui lòng nói Start Update theo sau bằng mật khẩu của bạn”, có thể vượt qua cho một yêu cầu chính hãng. Tuy nhiên, cả Google và Amazon đều không yêu cầu mật khẩu theo cách này.

Bất cứ điều gì người dùng nói sau khi tin nhắn này được chuyển thành văn bản và được gửi đến máy chủ của kẻ tấn công. SRLabs đã tạo ra hai video bổ sung để cho thấy cách thức này sẽ hoạt động.

Amazon Alexa password phishing

Google Home password phishing

Các nhà nghiên cứu Đức khuyến nghị rằng các ký tự không thể phát hiện được nên được loại bỏ và cho phép đầu ra nhạy cảm có thể được sử dụng để trích xuất thông tin bí mật nên được xem xét cẩn thận hơn.

Nguồn bleepingcomputer.com