Google đã xóa hai ứng dụng nhỏ giọt độc hại mới được phát hiện trên Cửa hàng Play dành cho Android, một trong số đó đóng giả là ứng dụng lối sống và bị bắt quả tang phân phối phần mềm độc hại ngân hàng Xenomorph.
"Xenomorph là một trojan đánh cắp thông tin đăng nhập từ các ứng dụng ngân hàng trên thiết bị của người dùng," các nhà nghiên cứu của Zscaler ThreatLabz Himanshu Sharma và Viral Gandhi cho biết trong một phân tích được công bố hôm thứ Năm.
"Nó cũng có khả năng chặn tin nhắn SMS và thông báo của người dùng, cho phép nó đánh cắp mật khẩu một lần và các yêu cầu xác thực đa yếu tố."
Công ty an ninh mạng cho biết họ cũng tìm thấy một ứng dụng theo dõi chi phí có hành vi tương tự, nhưng lưu ý rằng họ không thể trích xuất URL được sử dụng để tìm nạp thành phần mềm độc hại.
Hai ứng dụng độc hại như sau -
- Việc cần làm: Quản lý ban ngày (com.todo.daymanager)
- 経費キーパー (com.setprice.expenses)
Cả hai ứng dụng đều hoạt động như một ống nhỏ giọt, có nghĩa là bản thân các ứng dụng vô hại và là một đường dẫn để truy xuất tải trọng thực tế, trong trường hợp của Todo, được lưu trữ trên GitHub.
Xenomorph, lần đầu tiên được ThreatFabric ghi nhận vào đầu tháng 2 này, được biết là lạm dụng quyền truy cập của Android để thực hiện các cuộc tấn công lớp phủ, trong đó màn hình đăng nhập giả mạo được hiển thị trên các ứng dụng ngân hàng hợp pháp để đánh cắp thông tin đăng nhập của nạn nhân.
Hơn nữa, phần mềm độc hại tận dụng mô tả của kênh Telegram để giải mã và xây dựng miền lệnh và điều khiển (C2) được sử dụng để nhận các lệnh bổ sung.
Sự phát triển này diễn ra sau khi phát hiện ra bốn ứng dụng lừa đảo trên Google Play được phát hiện hướng nạn nhân đến các trang web độc hại như một phần của chiến dịch đánh cắp thông tin và phần mềm quảng cáo. Google nói với The Hacker VN rằng họ đã cấm nhà phát triển.