Phần mềm độc hại lừa đảo nhắm mục tiêu Android Người nộp thuế ở Ấn Độ | McAfee Blog

[ad_1]

Được ủy quyền by ChanUng Pak

Nhóm Nghiên cứu Di động của McAfee gần đây đã tìm thấy một phần mềm độc hại Android mới, Elibomi, nhắm mục tiêu vào những người nộp thuế ở Ấn Độ. Phần mềm độc hại này đánh cắp thông tin tài chính và cá nhân nhạy cảm thông qua lừa đảo bằng cách giả mạo là người nộp đơn nộp thuế. Chúng tôi đã xác định được hai chiến dịch chính sử dụng các chủ đề ứng dụng giả khác nhau để thu hút người nộp thuế. Chiến dịch đầu tiên từ tháng 11 năm 2020 giả mạo là ứng dụng chứng chỉ CNTT giả trong khi chiến dịch thứ hai, được nhìn thấy lần đầu tiên vào tháng 5 năm 2021, sử dụng chủ đề khai thuế giả. Với phát hiện này, nhóm Nghiên cứu Di động McAfee đã có thể cập nhật McAfee Mobile Security để phát hiện mối đe dọa này là Android / Elibomi và cảnh báo cho người dùng di động nếu phần mềm độc hại này có trong thiết bị của họ.

Trong quá trình điều tra, chúng tôi nhận thấy rằng trong chiến dịch mới nhất, phần mềm độc hại được phân phối bằng cách sử dụng một cuộc tấn công lừa đảo qua văn bản SMS. Tin nhắn SMS giả mạo là từ Cục thuế thu nhập ở Ấn Độ và sử dụng tên của người dùng được nhắm mục tiêu để làm cho cuộc tấn công lừa đảo qua SMS trở nên đáng tin cậy hơn và tăng khả năng lây nhiễm thiết bị. Ứng dụng giả mạo được sử dụng trong chiến dịch này được thiết kế để nắm bắt và đánh cắp thông tin cá nhân và tài chính nhạy cảm của nạn nhân bằng cách lừa người dùng tin rằng đó là ứng dụng khai thuế hợp pháp.

Chúng tôi cũng phát hiện ra rằng Elibomi tiết lộ thông tin nhạy cảm bị đánh cắp cho bất kỳ ai trên Internet. Dữ liệu bị đánh cắp bao gồm địa chỉ e-mail, số điện thoại, tin nhắn SMS / MMS và các thông tin nhận dạng cá nhân và tài chính khác. McAfee đã báo cáo các máy chủ tiết lộ dữ liệu và tại thời điểm xuất bản blog này, thông tin bị lộ không còn nữa.

Đóng giả là một ứng dụng từ Cục thuế thu nhập ở Ấn Độ

Chiến dịch Elibomi mới nhất và gần đây nhất sử dụng chủ đề ứng dụng khai thuế giả mạo và giả danh là từ Cục thuế thu nhập của chính phủ Ấn Độ. Họ thậm chí còn sử dụng logo gốc để lừa người dùng cài đặt ứng dụng. Tên gói (số nhận dạng ứng dụng duy nhất) của các ứng dụng giả mạo này bao gồm một từ ngẫu nhiên + một chuỗi ngẫu nhiên khác + imobile (ví dụ: “direct.uujgiq.imobile” và “olayan.aznohomqlq.imobile”). Như đã đề cập trước đó, chiến dịch này đã hoạt động ít nhất từ ​​tháng 5 năm 2021.

Nhân vật 1. Ứng dụng iMobile giả mạo giả danh từ Cục thuế thu nhập và yêu cầu quyền sử dụng SMS

Sau khi tất cả các quyền cần thiết được cấp, Elibomi cố gắng thu thập thông tin cá nhân như địa chỉ e-mail, số điện thoại và tin nhắn SMS / MMS được lưu trữ trong thiết bị bị nhiễm virus:

Nhân vật 2. Elibomi đánh cắp tin nhắn SMS

Phòng ngừa và phòng thủ

Dưới đây là các đề xuất của chúng tôi để tránh bị ảnh hưởng bởi điều này và các mối đe dọa Android khác sử dụng kỹ thuật xã hội để thuyết phục người dùng cài đặt phần mềm độc hại được ngụy trang dưới dạng ứng dụng hợp pháp:

  • Cài đặt ứng dụng bảo mật đáng tin cậy và cập nhật như McAfee Mobile Security trong thiết bị di động của bạn để bảo vệ bạn khỏi ứng dụng này và các ứng dụng độc hại khác.
  • Không nhấp vào các liên kết đáng ngờ nhận được từ tin nhắn văn bản hoặc phương tiện truyền thông xã hội, đặc biệt là từ các nguồn không xác định. Luôn kiểm tra kỹ bằng các phương tiện khác nếu một người liên hệ gửi liên kết không có ngữ cảnh có thực sự được gửi bởi người đó hay không vì nó có thể dẫn đến việc tải xuống một ứng dụng độc hại.

Phần kết luận

Android / Elibomi chỉ là một ví dụ khác về hiệu quả của các cuộc tấn công lừa đảo được cá nhân hóa để lừa người dùng cài đặt một ứng dụng độc hại ngay cả khi chính Android ngăn điều đó xảy ra. Bằng cách giả vờ là một ứng dụng “Thuế thu nhập” của chính phủ Ấn Độ, Android / Elibomi đã có thể thu thập thông tin cá nhân và tài chính rất nhạy cảm và riêng tư từ những người dùng bị ảnh hưởng có thể được sử dụng để thực hiện xác định và / hoặc gian lận tài chính. Đáng lo ngại hơn nữa, thông tin không chỉ nằm trong tay tội phạm mạng mà còn bất ngờ bị lộ trên mạng có thể gây ảnh hưởng lớn hơn đến nạn nhân. Miễn là các cuộc tấn công kỹ thuật xã hội vẫn còn hiệu quả, chúng tôi hy vọng rằng tội phạm mạng sẽ tiếp tục phát triển các chiến dịch của chúng để lừa nhiều người dùng hơn nữa bằng các ứng dụng giả mạo khác nhau, bao gồm cả những ứng dụng liên quan đến dịch vụ tài chính và thuế.

McAfee Mobile Security phát hiện mối đe dọa này là Android / Elibomi và cảnh báo cho người dùng di động nếu nó có mặt. Để biết thêm thông tin về McAfee Mobile Security, hãy truy cập https://www.mcafeemobilesecurity.com

Đối với những người quan tâm đến việc tìm hiểu sâu hơn về nghiên cứu của chúng tôi…

Phương thức phân phối và dữ liệu bị đánh cắp bị lộ trên Internet

Trong quá trình điều tra, chúng tôi đã tìm thấy phương thức phân phối chính của chiến dịch mới nhất trong một trong những tin nhắn SMS bị đánh cắp bị lộ ở một trong các máy chủ C2. Trường nội dung SMS trong ảnh chụp màn hình bên dưới cho thấy cuộc tấn công Smishing được sử dụng để phân phối phần mềm độc hại. Điều thú vị là tin nhắn bao gồm tên nạn nhân để làm cho tin nhắn trở nên cá nhân hơn và do đó đáng tin hơn. Nó cũng thúc giục người dùng nhấp vào một liên kết đáng ngờ với lý do kiểm tra một bản cập nhật khẩn cấp liên quan đến bản khai thuế Thu nhập của nạn nhân:

Nhân vật 3. Thông tin bị lộ bao gồm cuộc tấn công lừa đảo qua SMS được sử dụng để gửi phần mềm độc hại ban đầu

Elibomi không chỉ để lộ các tin nhắn SMS bị đánh cắp mà nó còn chụp và làm lộ danh sách tất cả các tài khoản đã đăng nhập vào các thiết bị bị nhiễm:

Nhân vật 4. Ví dụ về thông tin tài khoản được tiết lộ trong một trong các máy chủ C2

Nếu người dùng được nhắm mục tiêu nhấp vào liên kết trong tin nhắn văn bản, một trang lừa đảo sẽ được hiển thị giả mạo là từ Cục thuế thu nhập của chính phủ Ấn Độ, nơi sẽ gọi người dùng bằng tên của họ để làm cho cuộc tấn công lừa đảo đáng tin cậy hơn:

Nhân vật 5. Trang lừa đảo trực tuyến giả mạo giả mạo là từ Cục thuế thu nhập ở Ấn Độ

Mỗi người dùng được nhắm mục tiêu có một ứng dụng khác nhau. Ví dụ trong ảnh chụp màn hình bên dưới, chúng tôi có ứng dụng “cisco.uemoveqlg.imobile” ở bên trái và “komatsu.mjeqls.imobile” ở bên phải:

Nhân vật 6. Các ứng dụng độc hại khác nhau cho những người dùng khác nhau

Trong quá trình điều tra, chúng tôi nhận thấy rằng có một số biến thể của Elibomi cho cùng một ứng dụng thuế Thu nhập giả mạo iMobile. Ví dụ: một số ứng dụng iMobile chỉ có trang đăng nhập trong khi các ứng dụng khác có tùy chọn “đăng ký” và yêu cầu hoàn thuế giả:

Nhân vật 7. Màn hình iMobile giả được thiết kế để thu thập thông tin cá nhân và tài chính

Thông tin tài chính nhạy cảm do người dùng bị lừa cung cấp cũng bị lộ trên Internet:

Nhân vật số 8. Ví dụ về thông tin tài chính bị lộ bị Elibomi đánh cắp bằng ứng dụng khai thuế giả

Các ứng dụng Chứng chỉ CNTT giả mạo có liên quan

Chiến dịch Elibomi đầu tiên giả mạo là một ứng dụng “Chứng chỉ CNTT” giả đã được phát hiện để phân phối vào tháng 11 năm 2020. Trong hình sau, chúng ta có thể thấy những điểm tương đồng trong mã giữa hai chiến dịch phần mềm độc hại:

Nhân vật 9. Sự giống nhau về mã giữa các chiến dịch Elibomi

Ứng dụng độc hại đã mạo danh mô-đun quản lý chứng chỉ CNTT được sử dụng nhằm mục đích xác thực thiết bị trong một máy chủ xác minh không tồn tại. Cũng giống như phiên bản Elibomi gần đây nhất, ứng dụng ITCertificate giả mạo này yêu cầu quyền đối với SMS nhưng nó cũng yêu cầu đặc quyền của quản trị viên thiết bị, có thể khiến việc gỡ bỏ ứng dụng này khó khăn hơn. Ứng dụng độc hại cũng mô phỏng “Quét bảo mật” nhưng trên thực tế, những gì nó đang làm trong nền là ăn cắp thông tin cá nhân như e-mail, số điện thoại và tin nhắn SMS / MMS được lưu trữ trong thiết bị bị nhiễm:

Nhân vật 10. Ứng dụng ITCertificate giả mạo đang thực hiện quét bảo mật trong khi đánh cắp dữ liệu cá nhân trong nền

Cũng giống như chiến dịch “iMobile” gần đây nhất, “ITCertificate” giả mạo này cũng làm lộ dữ liệu bị đánh cắp trong một trong các máy chủ C2. Dưới đây là một ví dụ về tin nhắn SMS bị đánh cắp sử dụng các trường nhật ký và cấu trúc giống như chiến dịch “iMobile”:

Nhân vật 11. Tin nhắn SMS bị đánh cắp bởi “ITCertificate” giả sử dụng cấu trúc nhật ký giống như “iMobile”

Kỹ thuật xáo trộn chuỗi thú vị

Tội phạm mạng đằng sau hai phần mềm độc hại này đã thiết kế một kỹ thuật làm xáo trộn chuỗi đơn giản nhưng thú vị. Tất cả các chuỗi được giải mã bằng cách gọi các lớp khác nhau và mỗi lớp có một giá trị bảng hoàn toàn khác nhau

Nhân vật 12. Gọi phương thức giải mã với các tham số khác nhau

Nhân vật 13. Phương pháp khử xáo trộn chuỗi

Nhân vật 14. Bảng khử xáo trộn chuỗi

Thuật toán là một mật mã thay thế đơn giản. Ví dụ: 35 được thay thế bằng ‘h’ và 80 được thay thế bằng ‘t’ để làm xáo trộn chuỗi.

Ruột thừa – Thông số kỹ thuật và IOC

Băm Tên gói hàng
1e8fba3c530c3cd7d72e208e25fbf704ad7699c0a6728ab1b290c645995ddd56 direct.uujgiq.imobile
7f7b0555563e08e0763fe52f1790c86033dab8004aa540903782957d0116b87f ferrero.uabxzraglk.imobile

120a51611a02d1d8bd404bb426e07959ef79e808f1a55ce5bff33f04de1784ac erni.zbvbqlk.imobile

ecbd905c44b1519590df5465ea8acee9d3c155334b497fd86f6599b1c16345ef olayan.bxynrqlq.imobile

da900a00150fcd608a09dab8a8ccdcf33e9efc089269f9e0e6b3daadb9126231 foundation.aznohomqlq.imobile
795425dfc701463f1b55da0fa4e7c9bb714f99fecf7b7cdb6f91303e50d1efc0 fresenius.bowqpd.immobile
b41c9f27c49386e61d87e7fc429b930f5e01038d17ff3840d7a3598292c935d7 cisco.uemoveqlg.immobile
8de8c8c95fecd0b1d7b1f352cbaf839cba1c3b847997c804dfa2d5e3c0c87dfe komatsu.mjeqls.imobile
ecbd905c44b1519590df5465ea8acee9d3c155334b497fd86f6599b1c16345ef olayan.bxynrqlq.imobile
326d81ba7a715a57ba7aa2398824b420fff84cda85c0dd143462300af4e0a37a alstom.zjeubopqf.certificate
154cfd0dbb7eb2a4f4e5193849d314fa70dcc3caebfb9ab11b4ee26e98cb08f7 alstom.zjeubopqf.certificate
c59ecd344729dac99d9402609e248c80e10d39c4d4d712edef0df9ee460fbd7b alstom.zjeubopqf.certificate
16284cad1b5a36e2d2ea9f67f5c772af01b64d785f181fd31d2e2bec2d98ce98 alstom.zjeubopqf.certificate
98fc0d5f914ae47b61bc7b54986295d86b502a9264d7f74739ca452fac65a179 alstom.zjeubopqf.certificate
32724a3d2a3543cc982c7632f40f9e831b16d3f88025348d9eda0d2dfbb75dfe

computer.yvyjmbtlk.transferInstant