Công ty nghiên cứu bảo mật Cybereason đã phát hiện ra một loại trojan Android mới đang nhắm mục tiêu vào các ứng dụng ngân hàng và chuyển tiền. Phần mềm độc hại, được gọi là EventBot có thể thu thập dữ liệu nhạy cảm và thậm chí chặn tin nhắn SMS 2FA.

Ngày càng nhiều ứng dụng bị phần mềm độc hại EventBot đe dọa
Ngày càng nhiều ứng dụng bị phần mềm độc hại EventBot đe dọa

Hàng chục ứng dụng và ví tiền điện tử Android đã bị EventBot nhắm đến, bao gồm Coinbase, CoinMarketCap, Mycelium Wallet, CoinGecko, CEX.IO, Block portfolio, BitPay,…

1. EventBot nhắm đến các ứng dụng tài chính và ngân hàng trên Android

Bảo mật của vài chục ứng dụng Android đã bị xâm phạm do một loại phần mềm độc hại mới. Theo báo cáo từ công ty nghiên cứu bảo mật Cyberory, phần mềm độc hại lần đầu tiên bị phát hiện vào tháng 3 và khác biệt đáng kể so với phiên bản trước đây vì hầu hết các mã đều được viết từ scratch.

EventBot đang được phát triển tích cực, với các phiên bản mới có cải tiến và khả năng mới được phát hành mỗi vài ngày. Trong một email, Cybereason giải thích rằng phần mềm độc hại giả mạo như một ứng dụng hợp pháp mặc dù hiện tại nó không được tìm thấy trên Google Play Store.

Sau khi được người dùng không nghi ngờ cài đặt, EventBot tiếp tục lạm dụng tính năng trợ năng của Android để truy cập thông tin người dùng, thông tin hệ thống và dữ liệu được lưu trữ trong các ứng dụng khác. Phần mềm độc hại thậm chí có thể chặn tin nhắn SMS được gửi tới điện thoại của người dùng như một phần xác thực hai yếu tố (2FA).

“Nhóm Cybereason Nocturnus đã kết luận rằng EventBot có thể nhắm mục tiêu gần 300 ứng dụng tài chính và ngân hàng khác nhau, phần lớn trong số đó là các ứng dụng sàn giao dịch tiền điện tử và ngân hàng châu Âu”.

2. Các công ty tiền điện tử lớn dễ bị EventBot tấn công

Trong cuộc điều tra, Cybereason đã cố gắng xác định người đứng sau EventBot nhưng thấy rằng phần mềm độc hại vẫn đang trong giai đoạn phát triển nên rất có thể không sử dụng cho các cuộc tấn công lớn.

Và mặc dù không có khoản tiền bị mất nào được báo cáo cho loại tấn công này cho đến nay nhưng một số công ty tiền điện tử lớn nhất, bao gồm ví và sàn giao dịch, vẫn dễ bị EventBot tấn công trong tương lai. Tại phần phụ lục của báo cáo bảo mật, Cybereason đã liệt kê tất cả các công ty bị phần mềm độc hại nhắm đến.

Danh sách này bao gồm 296 ứng dụng ngân hàng và tài chính khác nhau, bao gồm PayPal Business, Revolut, Barclays, UniCredit, Lloyd’s, HSBC UK, Santander UK, Transferwise, … Ngoài các ứng dụng Android cho một số ngân hàng lớn nhất thế giới, danh sách này còn bao gồm vô số các công ty tiền điện tử.

Một số người chơi lớn nhất trong ngành như Coinbase đã bị phần mềm độc hại nhắm mục tiêu. Báo cáo của Cybereason liệt kê các sàn giao dịch CEX.IO, Changelly, Poloniex, WazirX, Bitstamp và Bitpanda dễ bị EventBot tấn công. Các ứng dụng theo dõi coin như CoinGecko, CoinMarketCap và Blockfolio cũng là mục tiêu và ít nhất một chục ví tiền điện tử di động khác nhau. Ví Bitcoin.com, Mycelium, Enjin, Electroneum, Ví Atomic, Paxful và MyEtherWallet chỉ là một số ví đó.

Công ty khuyên người dùng không nên tải ứng dụng di động từ các nguồn không chính thức hoặc trái phép và sử dụng các giải pháp bảo vệ thiết bị di động nếu nghi ngờ ứng dụng bị nhiễm phần mềm độc hại.

Lưu trữ nhiều tiền điện tử trong ví di động hơn so với ví tiền vật lý là không nên. Hãy bảo quản crypto một cách an toàn trong ví phần cứng đáng tin cậy.

Biên soạn bởi TimeBit/Nguồn: Cryptoslate