sms – Trung tâm quản trị mạng và an ninh mạng quốc tế Athena

Android Trojan đánh cắp tiền của bạn để tài trợ cho các cuộc tấn công SMS quốc tế

admin — Tue, 14 Jan 2020 03:22:46 +0000

Một Trojan ngân hàng Android có tên là Faketoken gần đây đã được các nhà nghiên cứu bảo mật quan sát thấy trong khi rút cạn tài khoản của nạn nhân để thúc đẩy các chiến dịch văn bản hàng loạt tấn công nhắm vào các thiết bị di động từ khắp nơi trên thế giới.

Faketoken là một chủng phần mềm độc hại Android được giới thiệu lần đầu tiên trong báo cáo F-Secure từ năm 2012 với tư cách là một kẻ đánh chặn Số xác thực giao dịch di động (mTAN) được ngụy trang như một trình tạo mã thông báo di động, một Trojan sau đó đã thêm các khả năng của ransomware vào tháng 12 năm 2016.

Bên cạnh việc sử dụng thông tin đăng nhập giả và màn hình lớp phủ lừa đảo để đánh cắp thông tin xác thực và xóa số mTAN được ngân hàng sử dụng để xác thực giao dịch trực tuyến, phần mềm độc hại cũng có thể tạo các trang lừa đảo tùy chỉnh nhắm mục tiêu trên 2.200 ứng dụng tài chính và có thể đánh cắp thông tin thiết bị như số IMEI và IMSI, số điện thoại, và nhiều hơn nữa.

Trojan này cũng có khả năng bắt chước các ứng dụng được sử dụng để thuê dịch vụ taxi và trả tiền cho người truy cập lưu lượng truy cập với mục tiêu cuối cùng là thu thập dữ liệu thẻ thanh toán như Kaspersky Lab đã phát hiện vào tháng 8 năm 2017.

Phần mềm độc hại ngân hàng biến công cụ nhắn tin hàng loạt tấn công

“Cách đây không lâu, hệ thống giám sát hoạt động botnet của chúng tôi – Theo dõi tấn công Botnet – đã phát hiện ra rằng khoảng 5.000 điện thoại thông minh bị nhiễm Faketoken đã bắt đầu gửi tin nhắn văn bản gây khó chịu”, Alexander Eremin, nhà phân tích phần mềm độc hại tại Kaspersky Lab cho biết. “Điều đó có vẻ kỳ lạ.”

Mặc dù phần lớn phần mềm độc hại di động đi kèm với khả năng SMS ra khỏi hộp và nó sử dụng nó cho nhiều mục đích khác nhau bao gồm chặn tin nhắn văn bản và lây lan sang các thiết bị khác, phần mềm độc hại ngân hàng sử dụng nó để gửi văn bản đại chúng là khá bất thường.

Khi nó tìm cách lây nhiễm thiết bị của mục tiêu, Faketoken sẽ kiểm tra xem tài khoản ngân hàng của họ có đủ tiền hay không và họ sẽ sử dụng thẻ thanh toán bị đánh cắp để thêm tín dụng vào tài khoản di động của nạn nhân.

Sau khi đảm bảo rằng các khoản tiền đã sẵn sàng cạn kiệt, Faketoken sẽ tiến hành gửi tin nhắn văn bản xúc phạm đến các số điện thoại trong nước và quốc tế để lây nhiễm các thiết bị từ khắp nơi trên thế giới.

“Các hoạt động nhắn tin của Faketoken đã được tính cho các chủ sở hữu thiết bị bị nhiễm”, Eremin cho biết thêm. “Trước khi gửi bất cứ điều gì, nó xác nhận rằng tài khoản ngân hàng của nạn nhân có đủ tiền.

Nếu tài khoản có tiền, thì phần mềm độc hại sẽ sử dụng thẻ để nạp tài khoản di động trước khi tiến hành nhắn tin.”

Chiến thuật này cho phép nó hút tài khoản ngân hàng của nạn nhân và, do các nhà nghiên cứu của Kaspersky Lab có thể phát hiện khoảng 5.000 điện thoại thông minh bị nhiễm biến thể Faketoken này, những kẻ tấn công có thể nhanh chóng thêm vào đống tiền mặt của họ nếu những người khác cũng bị nhiễm bệnh.

Bên cạnh việc rút cạn tài khoản ngân hàng của bạn để tài trợ cho các cuộc tấn công hàng loạt vào các thiết bị di động từ khắp nơi trên thế giới, Faketoken cũng có thể thực hiện một loạt các hành động khác theo chỉ dẫn của những kẻ tấn công:

Thay đổi mặt nạ để chặn tin nhắn văn bản đến.
Gửi tin nhắn văn bản đến một số được chỉ định với một văn bản được chỉ định.
Gửi tin nhắn văn bản với một văn bản được chỉ định đến một danh sách người nhận được chỉ định.
Gửi tin nhắn văn bản được chỉ định cho tất cả các địa chỉ liên lạc.
Tải tất cả tin nhắn văn bản từ thiết bị lên máy chủ độc hại.
Tải tất cả danh bạ từ thiết bị lên máy chủ độc hại.
Tải lên danh sách các ứng dụng đã cài đặt lên máy chủ độc hại.
Đặt lại thiết bị về cài đặt gốc.
Thực hiện cuộc gọi đến một số được chỉ định.
Tải tập tin về thiết bị theo liên kết đã chỉ định.
Xóa các ứng dụng được chỉ định.
Tạo thông báo trên điện thoại để mở một trang được chỉ định hoặc chạy một ứng dụng được chỉ định.
Bắt đầu chồng các ứng dụng được chỉ định với một cửa sổ lừa đảo được chỉ định.
Mở một liên kết được chỉ định trong cửa sổ riêng của nó.
Chạy một ứng dụng.
Chặn thiết bị để tống tiền để bỏ chặn thiết bị. Lệnh này có thể bao gồm một tùy chọn cho biết nhu cầu mã hóa tệp.

Biện pháp phòng thủ Faketoken

Để chống lại các cuộc tấn công gần đây của Faketoken, Kaspersky Lab khuyên bạn chỉ nên cài đặt các ứng dụng được phân phối thông qua các cài đặt khối Play Store chính thức của Google từ các nguồn không xác định bằng cách truy cập Cài đặt -> Bảo mật và bỏ chọn ‘Nguồn không xác định’.

Người dùng Android cũng nên luôn chú ý đến các quyền truy cập được yêu cầu bởi các ứng dụng trong quá trình cài đặt vì thấy rằng ngay cả các ứng dụng được tải xuống từ Cửa hàng Google Play cũng có thể đi kèm với phần mềm độc hại.

Và, quan trọng hơn trong trường hợp biến thể Faketoken đặc biệt này, theo Kaspersky Lab, bạn không nên “theo dõi các liên kết từ tin nhắn trừ khi bạn chắc chắn rằng chúng an toàn – ngay cả tin nhắn từ những người bạn biết.

Ví dụ: nếu ai đó thường đăng ảnh trên phương tiện truyền thông xã hội hoặc gửi chúng qua các ứng dụng nhắn tin tức thì thay vào đó sẽ gửi cho bạn một tin nhắn văn bản có liên kết, đó là một lá cờ đỏ. “

Nguồn BleepingComputer

Khóa học Hacker Mũ Trắng – AEH

Các nhà nghiên cứu trình diễn cách hack bất kỳ tài khoản TikTok nào bằng cách gửi tin nhắn SMS

admin — Thu, 09 Jan 2020 02:33:36 +0000

TikTok, ứng dụng được tải xuống nhiều thứ 3 trong năm 2019, đang bị kiểm tra gắt gao về quyền riêng tư của người dùng, kiểm duyệt nội dung gây tranh cãi về chính trị và trên cơ sở an ninh quốc gia, nhưng vẫn chưa hết, vì vấn đề bảo mật của hàng tỷ người dùng TikTok hiện đang bị nghi ngờ.

Ứng dụng chia sẻ video lan truyền nổi tiếng của Trung Quốc chứa các lỗ hổng nguy hiểm tiềm tàng có thể cho phép kẻ tấn công từ xa chiếm quyền điều khiển bất kỳ tài khoản người dùng nào chỉ bằng cách biết số điện thoại di động của các nạn nhân bị nhắm mục tiêu.

Trong một báo cáo được chia sẻ riêng với chúng tôi, các nhà nghiên cứu an ninh mạng tại Check Point tiết lộ rằng việc xâu chuỗi nhiều lỗ hổng cho phép họ thực thi mã độc từ xa và thực hiện các hành động không mong muốn thay cho nạn nhân mà không có sự đồng ý của họ.

Các lỗ hổng được báo cáo bao gồm các vấn đề nghiêm trọng thấp như giả mạo liên kết SMS, chuyển hướng mở và kịch bản chéo trang (XSS) mà khi kết hợp có thể cho phép kẻ tấn công từ xa thực hiện các cuộc tấn công tác động cao, bao gồm:

Xóa mọi video khỏi hồ sơ TikTok của nạn nhân.
Tải video trái phép lên hồ sơ TikTok của nạn nhân.
Đặt video “ẩn” riêng tư thành công khai.
Tiết lộ thông tin cá nhân được lưu trên tài khoản, như địa chỉ và email riêng tư.

Cuộc tấn công tận dụng một hệ thống SMS không an toàn mà TikTok cung cấp trên trang web của mình để cho phép người dùng gửi tin nhắn đến số điện thoại của họ bằng liên kết để tải xuống ứng dụng chia sẻ video.

Theo các nhà nghiên cứu, kẻ tấn công có thể gửi tin nhắn SMS đến bất kỳ số điện thoại nào thay mặt TikTok với URL tải xuống được sửa đổi đến một trang độc hại được thiết kế để thực thi mã trên thiết bị được nhắm mục tiêu với ứng dụng TikTok đã được cài đặt.

Khi được kết hợp với các sự cố chuyển hướng mở và kịch bản chéo trang, cuộc tấn công có thể cho phép tin tặc thực thi mã JavaScript thay cho nạn nhân ngay khi họ nhấp vào liên kết được gửi bởi máy chủ TikTok qua SMS, như được hiển thị trong phần Kiểm tra trình diễn video được chia sẻ với chúng tôi.

Kỹ thuật này thường được gọi là tấn công giả mạo yêu cầu chéo trang, trong đó những kẻ tấn công lừa người dùng xác thực để thực hiện một hành động không mong muốn.

“Với việc thiếu cơ chế giả mạo yêu cầu chống trang web chéo, chúng tôi nhận ra rằng chúng tôi có thể thực thi mã JavaScript và thực hiện các hành động thay cho nạn nhân, mà không cần sự đồng ý của anh ấy”, các nhà nghiên cứu cho biết trong một bài đăng trên blog hôm nay.

“Chuyển hướng người dùng đến một trang web độc hại sẽ thực thi mã JavaScript và thực hiện các yêu cầu tới Tiktok bằng cookie của nạn nhân.”

Check Point có trách nhiệm báo cáo các lỗ hổng này cho ByteDance, nhà phát triển TikTok, vào cuối tháng 11 năm 2019, người sau đó đã phát hành một phiên bản vá của ứng dụng di động trong vòng một tháng để bảo vệ người dùng khỏi tin tặc.

Nếu bạn không chạy phiên bản TikTok mới nhất có sẵn trên các cửa hàng ứng dụng chính thức cho Android và iOS, bạn nên cập nhật nó càng sớm càng tốt.

Nguồn The Hacker News

Khóa học Hacker Mũ Trắng – AEH

Tin tặc Trung Quốc xâm nhập máy chủ viễn thông để theo dõi tin nhắn SMS

admin — Mon, 04 Nov 2019 03:52:01 +0000

Một nhóm tin tặc Trung Quốc làm gián điệp chính trị cho Bắc Kinh đã được tìm thấy đang nhắm vào các công ty viễn thông với một phần mềm độc hại mới được thiết kế để theo dõi các tin nhắn văn bản được gửi hoặc nhận bởi các cá nhân.

Được đặt tên là “MessageTap”, phần mềm backdoor độc hại sau là công cụ khai thác dữ liệu ELF 64 bit gần đây đã được phát hiện là được cài đặt trên máy chủ của Trung tâm dịch vụ tin nhắn ngắn (SMSC) trên Linux của một công ty viễn thông không tên.

Theo một báo cáo gần đây được công bố bởi công ty Mandiant của FireEye, MessageTap đã được APT41, một nhóm tin tặc Trung Quốc chuyên nghiệp thực hiện các hoạt động gián điệp do nhà nước tài trợ và cũng bị phát hiện liên quan đến các cuộc tấn công có động cơ tài chính.

Trong các mạng điện thoại di động, máy chủ SMSC hoạt động như một dịch vụ trung gian chịu trách nhiệm xử lý các hoạt động SMS bằng cách định tuyến tin nhắn giữa người gửi và người nhận.

Vì các tin nhắn SMS không được thiết kế để được mã hóa, cả khi truyền và trên các máy chủ viễn thông, việc xâm phạm hệ thống SMSC cho phép kẻ tấn công giám sát tất cả các kết nối mạng đến và từ máy chủ cũng như dữ liệu trong chúng.

MessageTap hoạt động như thế nào?

MessageTap sử dụng thư viện libpcap để theo dõi tất cả lưu lượng SMS và sau đó phân tích nội dung của từng tin nhắn để xác định IMSI và số điện thoại của người gửi và người nhận.

Theo các nhà nghiên cứu, tin tặc đã thiết kế phần mềm độc hại MessageTap để lọc và chỉ lưu tin nhắn:

Gửi hoặc nhận bằng số điện thoại cụ thể
Chứa một số từ khóa nhất định.
Với số IMSI cụ thể.

Với điều này, MessageTap dựa trên hai tệp cấu hình được cung cấp bởi những kẻ tấn công – keyword_parm.txt và parm.txt – có chứa danh sách các số điện thoại được nhắm mục tiêu, số IMSI và từ khóa được liên kết với “Các cá nhân có xếp hạng cao đến các dịch vụ tình báo Trung Quốc. “

“Cả hai tệp đều bị xóa khỏi đĩa sau khi các tệp cấu hình được đọc và tải vào bộ nhớ. Sau khi tải các tệp từ khóa và điện thoại, MessageTap bắt đầu theo dõi tất cả các kết nối mạng đến và đi từ máy chủ”, các nhà nghiên cứu cho biết trong báo cáo được công bố hôm nay.

“Dữ liệu trong keyword_parm.txt chứa các điều khoản về lợi ích chính trị đối với tình báo Trung Quốc.”

Nếu nó tìm thấy một văn bản tin nhắn SMS đáng quan tâm, phần mềm độc hại XOR sẽ lưu nội dung của nó và lưu nó vào các tệp CSV.

Theo các nhà nghiên cứu, “Nguy cơ dữ liệu không được mã hóa bị chặn bởi một số lớp upstream trong chuỗi liên lạc di động của họ” đặc biệt quan trọng đối với các cá nhân như nhà bất đồng chính kiến, nhà báo và quan chức xử lý các thông tin nhạy cảm cao. “

Bên cạnh đó, nhóm hack APT41 cũng bị phát hiện là ăn cắp hồ sơ chi tiết các cuộc gọi (CDR) tương ứng với các cá nhân nước ngoài cấp cao trong vụ xâm nhập này, làm lộ liệu của các cuộc gọi, bao gồm thời gian của các cuộc gọi, thời lượng của họ ,địa điểm đến và đi của số điện thoại đó.

Việc tin tặc Trung Quốc nhắm vào các công ty viễn thông không phải là mới. Trong chính năm nay, nhóm hack APT41 đã nhắm vào ít nhất bốn công ty viễn thông và các nhóm bị nhà nước nghi ngờ cũng đánh vào bốn tổ chức viễn thông.

Theo các nhà nghiên cứu của FireEye, xu hướng này sẽ tiếp tục tăng và nhiều chiến dịch như vậy sẽ sớm được phát hiện, và do đó để giảm thiểu mức độ rủi ro, các tổ chức nên xem xét và triển khai một chương trình truyền thông phù hợp để thực thi mã hóa end-to-end.

Nguồn thehackernews.com