Được ủy quyền by ChanUng Pak
Nhóm Nghiên cứu Di động của McAfee gần đây đã tìm thấy một phần mềm độc hại Android mới, Elibomi, nhắm mục tiêu vào những người nộp thuế ở Ấn Độ. Phần mềm độc hại này đánh cắp thông tin tài chính và cá nhân nhạy cảm thông qua lừa đảo bằng cách giả mạo là người nộp đơn nộp thuế. Chúng tôi đã xác định được hai chiến dịch chính sử dụng các chủ đề ứng dụng giả khác nhau để thu hút người nộp thuế. Chiến dịch đầu tiên từ tháng 11 năm 2020 giả mạo là ứng dụng chứng chỉ CNTT giả trong khi chiến dịch thứ hai, được nhìn thấy lần đầu tiên vào tháng 5 năm 2021, sử dụng chủ đề khai thuế giả. Với phát hiện này, nhóm Nghiên cứu Di động McAfee đã có thể cập nhật McAfee Mobile Security để phát hiện mối đe dọa này là Android / Elibomi và cảnh báo cho người dùng di động nếu phần mềm độc hại này có trong thiết bị của họ.
Trong quá trình điều tra, chúng tôi nhận thấy rằng trong chiến dịch mới nhất, phần mềm độc hại được phân phối bằng cách sử dụng một cuộc tấn công lừa đảo qua văn bản SMS. Tin nhắn SMS giả mạo là từ Cục thuế thu nhập ở Ấn Độ và sử dụng tên của người dùng được nhắm mục tiêu để làm cho cuộc tấn công lừa đảo qua SMS trở nên đáng tin cậy hơn và tăng khả năng lây nhiễm thiết bị. Ứng dụng giả mạo được sử dụng trong chiến dịch này được thiết kế để nắm bắt và đánh cắp thông tin cá nhân và tài chính nhạy cảm của nạn nhân bằng cách lừa người dùng tin rằng đó là ứng dụng khai thuế hợp pháp.
Chúng tôi cũng phát hiện ra rằng Elibomi tiết lộ thông tin nhạy cảm bị đánh cắp cho bất kỳ ai trên Internet. Dữ liệu bị đánh cắp bao gồm địa chỉ e-mail, số điện thoại, tin nhắn SMS / MMS và các thông tin nhận dạng cá nhân và tài chính khác. McAfee đã báo cáo các máy chủ tiết lộ dữ liệu và tại thời điểm xuất bản blog này, thông tin bị lộ không còn nữa.
Table of Contents
Đóng giả là một ứng dụng từ Cục thuế thu nhập ở Ấn Độ
Chiến dịch Elibomi mới nhất và gần đây nhất sử dụng chủ đề ứng dụng khai thuế giả mạo và giả danh là từ Cục thuế thu nhập của chính phủ Ấn Độ. Họ thậm chí còn sử dụng logo gốc để lừa người dùng cài đặt ứng dụng. Tên gói (số nhận dạng ứng dụng duy nhất) của các ứng dụng giả mạo này bao gồm một từ ngẫu nhiên + một chuỗi ngẫu nhiên khác + imobile (ví dụ: “direct.uujgiq.imobile” và “olayan.aznohomqlq.imobile”). Như đã đề cập trước đó, chiến dịch này đã hoạt động ít nhất từ tháng 5 năm 2021.
Nhân vật 1. Ứng dụng iMobile giả mạo giả danh từ Cục thuế thu nhập và yêu cầu quyền sử dụng SMS
Sau khi tất cả các quyền cần thiết được cấp, Elibomi cố gắng thu thập thông tin cá nhân như địa chỉ e-mail, số điện thoại và tin nhắn SMS / MMS được lưu trữ trong thiết bị bị nhiễm virus:
Nhân vật 2. Elibomi đánh cắp tin nhắn SMS
Phòng ngừa và phòng thủ
Dưới đây là các đề xuất của chúng tôi để tránh bị ảnh hưởng bởi điều này và các mối đe dọa Android khác sử dụng kỹ thuật xã hội để thuyết phục người dùng cài đặt phần mềm độc hại được ngụy trang dưới dạng ứng dụng hợp pháp:
- Cài đặt ứng dụng bảo mật đáng tin cậy và cập nhật như McAfee Mobile Security trong thiết bị di động của bạn để bảo vệ bạn khỏi ứng dụng này và các ứng dụng độc hại khác.
- Không nhấp vào các liên kết đáng ngờ nhận được từ tin nhắn văn bản hoặc phương tiện truyền thông xã hội, đặc biệt là từ các nguồn không xác định. Luôn kiểm tra kỹ bằng các phương tiện khác nếu một người liên hệ gửi liên kết không có ngữ cảnh có thực sự được gửi bởi người đó hay không vì nó có thể dẫn đến việc tải xuống một ứng dụng độc hại.
Phần kết luận
Android / Elibomi chỉ là một ví dụ khác về hiệu quả của các cuộc tấn công lừa đảo được cá nhân hóa để lừa người dùng cài đặt một ứng dụng độc hại ngay cả khi chính Android ngăn điều đó xảy ra. Bằng cách giả vờ là một ứng dụng “Thuế thu nhập” của chính phủ Ấn Độ, Android / Elibomi đã có thể thu thập thông tin cá nhân và tài chính rất nhạy cảm và riêng tư từ những người dùng bị ảnh hưởng có thể được sử dụng để thực hiện xác định và / hoặc gian lận tài chính. Đáng lo ngại hơn nữa, thông tin không chỉ nằm trong tay tội phạm mạng mà còn bất ngờ bị lộ trên mạng có thể gây ảnh hưởng lớn hơn đến nạn nhân. Miễn là các cuộc tấn công kỹ thuật xã hội vẫn còn hiệu quả, chúng tôi hy vọng rằng tội phạm mạng sẽ tiếp tục phát triển các chiến dịch của chúng để lừa nhiều người dùng hơn nữa bằng các ứng dụng giả mạo khác nhau, bao gồm cả những ứng dụng liên quan đến dịch vụ tài chính và thuế.
McAfee Mobile Security phát hiện mối đe dọa này là Android / Elibomi và cảnh báo cho người dùng di động nếu nó có mặt. Để biết thêm thông tin về McAfee Mobile Security, hãy truy cập https://www.mcafeemobilesecurity.com
Đối với những người quan tâm đến việc tìm hiểu sâu hơn về nghiên cứu của chúng tôi…
Phương thức phân phối và dữ liệu bị đánh cắp bị lộ trên Internet
Trong quá trình điều tra, chúng tôi đã tìm thấy phương thức phân phối chính của chiến dịch mới nhất trong một trong những tin nhắn SMS bị đánh cắp bị lộ ở một trong các máy chủ C2. Trường nội dung SMS trong ảnh chụp màn hình bên dưới cho thấy cuộc tấn công Smishing được sử dụng để phân phối phần mềm độc hại. Điều thú vị là tin nhắn bao gồm tên nạn nhân để làm cho tin nhắn trở nên cá nhân hơn và do đó đáng tin hơn. Nó cũng thúc giục người dùng nhấp vào một liên kết đáng ngờ với lý do kiểm tra một bản cập nhật khẩn cấp liên quan đến bản khai thuế Thu nhập của nạn nhân:
Nhân vật 3. Thông tin bị lộ bao gồm cuộc tấn công lừa đảo qua SMS được sử dụng để gửi phần mềm độc hại ban đầu
Elibomi không chỉ để lộ các tin nhắn SMS bị đánh cắp mà nó còn chụp và làm lộ danh sách tất cả các tài khoản đã đăng nhập vào các thiết bị bị nhiễm:
Nhân vật 4. Ví dụ về thông tin tài khoản được tiết lộ trong một trong các máy chủ C2
Nếu người dùng được nhắm mục tiêu nhấp vào liên kết trong tin nhắn văn bản, một trang lừa đảo sẽ được hiển thị giả mạo là từ Cục thuế thu nhập của chính phủ Ấn Độ, nơi sẽ gọi người dùng bằng tên của họ để làm cho cuộc tấn công lừa đảo đáng tin cậy hơn:
Nhân vật 5. Trang lừa đảo trực tuyến giả mạo giả mạo là từ Cục thuế thu nhập ở Ấn Độ
Mỗi người dùng được nhắm mục tiêu có một ứng dụng khác nhau. Ví dụ trong ảnh chụp màn hình bên dưới, chúng tôi có ứng dụng “cisco.uemoveqlg.imobile” ở bên trái và “komatsu.mjeqls.imobile” ở bên phải:
Nhân vật 6. Các ứng dụng độc hại khác nhau cho những người dùng khác nhau
Trong quá trình điều tra, chúng tôi nhận thấy rằng có một số biến thể của Elibomi cho cùng một ứng dụng thuế Thu nhập giả mạo iMobile. Ví dụ: một số ứng dụng iMobile chỉ có trang đăng nhập trong khi các ứng dụng khác có tùy chọn “đăng ký” và yêu cầu hoàn thuế giả:
Nhân vật 7. Màn hình iMobile giả được thiết kế để thu thập thông tin cá nhân và tài chính
Thông tin tài chính nhạy cảm do người dùng bị lừa cung cấp cũng bị lộ trên Internet:
Nhân vật số 8. Ví dụ về thông tin tài chính bị lộ bị Elibomi đánh cắp bằng ứng dụng khai thuế giả
Các ứng dụng Chứng chỉ CNTT giả mạo có liên quan
Chiến dịch Elibomi đầu tiên giả mạo là một ứng dụng “Chứng chỉ CNTT” giả đã được phát hiện để phân phối vào tháng 11 năm 2020. Trong hình sau, chúng ta có thể thấy những điểm tương đồng trong mã giữa hai chiến dịch phần mềm độc hại:
Nhân vật 9. Sự giống nhau về mã giữa các chiến dịch Elibomi
Ứng dụng độc hại đã mạo danh mô-đun quản lý chứng chỉ CNTT được sử dụng nhằm mục đích xác thực thiết bị trong một máy chủ xác minh không tồn tại. Cũng giống như phiên bản Elibomi gần đây nhất, ứng dụng ITCertificate giả mạo này yêu cầu quyền đối với SMS nhưng nó cũng yêu cầu đặc quyền của quản trị viên thiết bị, có thể khiến việc gỡ bỏ ứng dụng này khó khăn hơn. Ứng dụng độc hại cũng mô phỏng “Quét bảo mật” nhưng trên thực tế, những gì nó đang làm trong nền là ăn cắp thông tin cá nhân như e-mail, số điện thoại và tin nhắn SMS / MMS được lưu trữ trong thiết bị bị nhiễm:
Nhân vật 10. Ứng dụng ITCertificate giả mạo đang thực hiện quét bảo mật trong khi đánh cắp dữ liệu cá nhân trong nền
Cũng giống như chiến dịch “iMobile” gần đây nhất, “ITCertificate” giả mạo này cũng làm lộ dữ liệu bị đánh cắp trong một trong các máy chủ C2. Dưới đây là một ví dụ về tin nhắn SMS bị đánh cắp sử dụng các trường nhật ký và cấu trúc giống như chiến dịch “iMobile”:
Nhân vật 11. Tin nhắn SMS bị đánh cắp bởi “ITCertificate” giả sử dụng cấu trúc nhật ký giống như “iMobile”
Kỹ thuật xáo trộn chuỗi thú vị
Tội phạm mạng đằng sau hai phần mềm độc hại này đã thiết kế một kỹ thuật làm xáo trộn chuỗi đơn giản nhưng thú vị. Tất cả các chuỗi được giải mã bằng cách gọi các lớp khác nhau và mỗi lớp có một giá trị bảng hoàn toàn khác nhau
Nhân vật 12. Gọi phương thức giải mã với các tham số khác nhau
Nhân vật 13. Phương pháp khử xáo trộn chuỗi
Nhân vật 14. Bảng khử xáo trộn chuỗi
Thuật toán là một mật mã thay thế đơn giản. Ví dụ: 35 được thay thế bằng ‘h’ và 80 được thay thế bằng ‘t’ để làm xáo trộn chuỗi.
Ruột thừa – Thông số kỹ thuật và IOC
| Băm | Tên gói hàng | ||
| 1e8fba3c530c3cd7d72e208e25fbf704ad7699c0a6728ab1b290c645995ddd56 | direct.uujgiq.imobile | ||
| 7f7b0555563e08e0763fe52f1790c86033dab8004aa540903782957d0116b87f | ferrero.uabxzraglk.imobile
|
||
| 120a51611a02d1d8bd404bb426e07959ef79e808f1a55ce5bff33f04de1784ac | erni.zbvbqlk.imobile
|
||
| ecbd905c44b1519590df5465ea8acee9d3c155334b497fd86f6599b1c16345ef | olayan.bxynrqlq.imobile
|
||
| da900a00150fcd608a09dab8a8ccdcf33e9efc089269f9e0e6b3daadb9126231 | foundation.aznohomqlq.imobile | ||
| 795425dfc701463f1b55da0fa4e7c9bb714f99fecf7b7cdb6f91303e50d1efc0 | fresenius.bowqpd.immobile | ||
| b41c9f27c49386e61d87e7fc429b930f5e01038d17ff3840d7a3598292c935d7 | cisco.uemoveqlg.immobile | ||
| 8de8c8c95fecd0b1d7b1f352cbaf839cba1c3b847997c804dfa2d5e3c0c87dfe | komatsu.mjeqls.imobile | ||
| ecbd905c44b1519590df5465ea8acee9d3c155334b497fd86f6599b1c16345ef | olayan.bxynrqlq.imobile | ||
| 326d81ba7a715a57ba7aa2398824b420fff84cda85c0dd143462300af4e0a37a | alstom.zjeubopqf.certificate | ||
| 154cfd0dbb7eb2a4f4e5193849d314fa70dcc3caebfb9ab11b4ee26e98cb08f7 | alstom.zjeubopqf.certificate | ||
| c59ecd344729dac99d9402609e248c80e10d39c4d4d712edef0df9ee460fbd7b | alstom.zjeubopqf.certificate | ||
| 16284cad1b5a36e2d2ea9f67f5c772af01b64d785f181fd31d2e2bec2d98ce98 | alstom.zjeubopqf.certificate | ||
| 98fc0d5f914ae47b61bc7b54986295d86b502a9264d7f74739ca452fac65a179 | alstom.zjeubopqf.certificate | ||
| 32724a3d2a3543cc982c7632f40f9e831b16d3f88025348d9eda0d2dfbb75dfe
|
computer.yvyjmbtlk.transferInstant | ||