Biến thể mới của mã độc ngân hàng Chameleon có khả năng phá vỡ xác thực Sinh trắc học
Một biến thể mới của Trojan ngân hàng Chameleon trên Android đã xuất hiện, cho thấy khả năng vượt qua các biện pháp bảo mật sinh trắc học và xâm nhập vào các thiết bị. Điều này đánh dấu cảnh báo nghiêm trọng về malware, khi những kẻ tấn công hiện đang triển khai Trojan ngân hàng Chameleon đối với số lượng lớn nạn nhân.
Vào tháng 01/2023, một loại Trojan ngân hàng mới được phát hiện trong giai đoạn hoàn thiện nhằm vào mục tiêu những người dùng tại Úc và Ba Lan. Trojan này được phát tán thông qua các trang web giả mạo (phishing) và có khả năng giả mạo các tổ chức đáng tin cậy, như Cơ quan Thuế vụ Úc (ATO) và các ứng dụng ngân hàng phổ biến tại Ba Lan. Mục tiêu chính của Trojan là đánh cắp dữ liệu từ thiết bị của người dùng.
Gần đây, các nhà nghiên cứu từ công ty bảo mật di động ThreatFabric (Hà Lan) đã xác định một phiên bản Chameleon mở rộng phạm vi mục tiêu của mình đến người dùng Android ở Vương quốc Anh và Ý. Biến thể mới này lây lan qua dịch vụ chia sẻ ứng dụng Dark Web Zombinder, được ngụy trang dưới dạng ứng dụng Google Chrome để lan truyền mã độc. dưới dạng ứng dụng Google Chrome để lan truyền mã độc.
So với phiên bản trước, bản nâng cấp của Trojan Chameleon lần này tích hợp nhiều tính năng mới nguy hiểm nhắm tới người dùng Android. Đáng chú ý, mã độc này có khả năng làm vượt qua lớp bảo vệ của sinh trắc học (ví dụ: nhận dạng khuôn mặt hoặc quét dấu vân tay), vì vậy, kẻ tấn công có thể đánh cắp các mã PIN, mật khẩu hoặc khóa đồ họa thông qua chức năng key logging (theo dõi lúc nhập mật khẩu). Theo phân tích của Threat Fabric, mã độc này có thể vô hiệu hóa các biện pháp bảo mật sinh trắc học. Đây là một dấu hiệu đáng lo ngại về mã độc trên thiết bị di động.
Ngoài ra, biến thể này cũng có một tính năng mở rộng sử dụng dịch vụ Trợ năng (Accessibility) của Android để thực hiện các cuộc tấn công chiếm đoạt thiết bị. Bên cạnh đó, các nhà nghiên cứu phát hiện nó có khả năng lập lịch nhiệm vụ thông qua API AlarmManager, một chức năng thường thấy trong nhiều Trojan khác.
Những cải tiến này nâng cao tính phức tạp và tăng tính linh hoạt của biến thể Chameleon mới, biến nó thành một mối đe dọa tiềm tàng khi các trojan trên ứng dụng di động ngân hàng ngày càng tăng.
Chameleon: Thích nghi với Khả năng Bảo mật Sinh trắc học
Các nhà nghiên cứu tại Threat Fabric cảnh báo Chameleon đang liên tục cập nhật công nghệ để vượt qua các hàng rào bảo mật sinh trắc học. Điểm đáng chú ý nhất của mã độc này là khả năng vô hiệu hóa bảo mật sinh trắc học trên thiết bị bằng cách sử dụng lệnh "interrupt_biometric". Nó kích hoạt "InterruptBiometric", sử dụng API KeyguardManager và AccessibilityEvent của Android để kiểm tra màn hình thiết bị và trạng thái khóa, đánh giá các cơ chế khóa như hình mở khóa, mã PIN hoặc mật khẩu.
Khi đáp ứng các điều kiện, mã độc chuyển từ xác thực sinh trắc học sang xác thực bằng mã PIN, bỏ qua sinh trắc học và cho phép kẻ tấn công mở khóa thiết bị theo ý muốn. Lợi thế kép này cho phép tội phạm dễ dàng đánh cắp dữ liệu cá nhân, bao gồm mã PIN, mật khẩu hoặc khóa hình ảnh, đồng thời cho phép truy cập vào các thiết bị được bảo vệ bằng sinh trắc học bằng cách sử dụng mã PIN hoặc mật khẩu đã ăn cắp trước đó thông qua tính năng Accessibility.
Một tính năng đáng chú ý khác là một cửa sổ thông báo HTML được thiết kế để kích hoạt tính năng Accessibility, một yếu tố quan trọng mà Chameleon sử dụng để thực hiện các cuộc tấn công và kiểm soát thiết bị. Tính năng này bao gồm một quy trình xác minh cụ thể cho từng thiết bị được kích hoạt khi nhận lệnh "android_13" từ máy chủ ra lệnh và điều khiển (C2). Nó hiển thị một trang HTML, yêu cầu người dùng thực hiện quy trình thủ công từng bước để kích hoạt Accessibility trên Android 13.
Trong biến thể mới nhất, tính năng thứ ba đó là khả năng lập lịch tác vụ bằng API AlarmManager. Tính năng này tuy chưa từng xuất hiện trong Chameleon trước đây nhưng vẫn thường xuyên xuất hiện trong nhiều loại trojan ngân hàng khác.
Khác với cách tính năng được triển khai trong các Trojan ngân hàng khác, mã độc Chameleon linh hoạt và khéo léo trong việc kích hoạt Accessibility, hoạt động theo chuẩn hành vi của Trojan. Điều này thực hiện được thông qua việc hỗ trợ một lệnh mới có thể đánh giá xem Accessibility đã được kích hoạt hay chưa, và tự động chuyển đổi giữa các hoạt động tấn công khác nhau tùy thuộc vào trạng thái của tính năng này trên thiết bị.
Nguy hiểm mã độc tiềm ẩn cho các thiết bị Android
Các chuyên gia bảo mật khuyên rằng, khi các cuộc tấn công nhằm vào thiết bị Android tăng vọt, điều quan trọng hơn bao giờ hết là người dùng phải cảnh giác khi tải xuống bất kỳ ứng dụng nào có vẻ đáng ngờ hoặc không được tải xuống từ Kho ứng dụng hợp pháp trên thiết bị của họ.
Theo các nhà nghiên cứu “Khi các mã độc đang ngày trở nên nguy hiểm như hiện nay, hỏi người dùng cần thận trọng để bảo vệ bản thân trước các mối đe dọa an ninh mạng tinh vi”.
Chính vì vậy, việc đầu tư vào các giải pháp bảo mật như BShield với các lớp bảo mật chặt chẽ sẽ giúp thiết bị ngăn chặn các hình thức tấn công như truy cập trái phép, ứng dụng giả mạo, rò rỉ dữ liệu... Lựa chọn BShield hay sử dụng các biện pháp bảo mật phù hợp để bảo vệ bản thân khỏi những nguy cơ tiềm ẩn trong không gian số như hiện này là điều cần thiết cho bất kì cá nhân, doanh nghiệp nào.