Biến thể mới của mã độc Marcher trên Android giả mạo cập nhật Flash Player

09:03 | 06/07/2017 | HACKER / MALWARE

Một biến thể mới của phần mềm độc hại ngân hàng - Marcher trên Android vừa được phát hiện, đã lây nhiễm bằng cách giả mạo cập nhật Adobe Flash Player, nhắm vào người dùng của 54 ứng dụng ngân hàng.

Theo công ty bảo mật đám mây Zscaler (Hoa Kỳ), phần mềm độc hại Marcher trên Android đang lây nhiễm bằng cách giả mạo bản cập nhật của Adobe Flash Player. Đây là phần mềm độc hại có khả năng đánh cắp thông tin ngân hàng trực tuyến bằng cách lừa người dùng điền thông tin vào các trang ứng dụng tài chính giả mạo. Trong payload của nó có chứa danh sách các ứng dụng và URL của các trang đăng nhập giả mạo trên 54 ứng dụng tài chính như: Chase, Citibank, PayPal, TC Bank, Wells Fargo,… và một số ứng dụng không thuộc nhóm tài chính như: Google Play, eBay.

Theo Zscaler, nguồn lây nhiễm chính của mã độc Marcher là từ các quảng cáo Popcash.net độc hại. Khi người dùng kích vào quảng cáo, một URL sẽ xuất hiện và người dùng nhận được thông báo nhắc cập nhật Flash Player. Khi tải xuống bản cập nhật giả mạo có mã độc hại, người dùng sẽ được yêu cầu vô hiệu hóa các tính năng bảo mật và cho phép ứng dụng bên thứ ba được cài đặt.

Biến thể mới của mã độc Marcher trên Android giả mạo cập nhật Flash Player

Sau khi cài đặt, phần mềm độc hại Marcher sẽ tự đăng ký vào một máy chủ C&C để gửi dữ liệu của thiết bị, danh sách các ứng dụng đã cài đặt và các thông tin đăng nhập mà người dùng đã nhập trong trang giả mạo. Các trang đăng nhập giả mạo sẽ xuất hiện khi người dùng mở các những ứng dụng thuộc danh sách mục tiêu của Marcher, người dùng sẽ bị lừa để điền thông tin đăng nhập vào các trang này. Để tránh bị nghi ngờ, mã độc Marcher sẽ đợi một vài ngày trước khi kích hoạt các trang đăng nhập giả mạo.

Theo Zscaler, những thay đổi thường xuyên của loại mã độc Marcher cho thấy, phần mềm độc hại này vẫn đang hoạt động mạnh mẽ và đe dọa đến các thiết bị Android.

‹ › ×

Tin liên quan

Phát hiện 324 tên miền giả mạo các ngân hàng lớn ở Anh

08:00 | 28/11/2017

Các nhà nghiên cứu an ninh tại DomainTools (Hoa Kỳ) đã tìm ra 324 tên miền giả danh 5 trong số những ngân hàng lớn nhất nước Anh như ngân hàng Barclays, HSBC, Natwest, Lloyds và Standard Chartered để đánh lừa người dùng.

Tin cùng chuyên mục

Công ty sản xuất vàng Evolution Mining bị tấn công mạng

16:00 | 19/08/2024

Công ty sản xuất vàng Evolution Mining, một trong những nhà sản xuất vàng lớn nhất của Úc (cũng có mặt tại Canada) đã thông báo rằng, công ty bị tấn công bằng mã độc tống tiền vào ngày 08/8. Vụ tấn công đã gây ảnh hưởng nghiêm trọng đến hệ thống công nghệ thông tin của công ty.

Nhóm tin tặc APT17 nhắm mục tiêu vào các công ty Ý bằng phần mềm độc hại 9002 RAT

14:00 | 30/07/2024

Một nhóm tin tặc có liên quan đến Trung Quốc có tên là APT17 đã được phát hiện nhắm mục tiêu vào các công ty và tổ chức của Chính phủ Ý bằng cách sử dụng một biến thể của phần mềm độc hại đã biết có tên là 9002 RAT.

Vụ tấn công Post Millennial làm rò rỉ dữ liệu ảnh hưởng đến 26 triệu người

14:00 | 23/05/2024

The Post Millennial, một tạp chí tin tức trực tuyến của Canada đã bị vi phạm dữ liệu nghiêm trọng và gây rò rỉ dữ liệu. Cuộc tấn công này đã xâm phạm thông tin cá nhân của hàng triệu người dùng, bao gồm các tác giả và biên tập viên của trang web cũng như một số lượng lớn người đăng ký.