Trojan ngân hàng Chameleon Android nhắm mục tiêu vào người dùng thông qua ứng dụng CRM giả mạo

Các nhà nghiên cứu an ninh mạng đã tiết lộ một kỹ thuật mới được các tác nhân đe dọa sử dụng sau trojan ngân hàng Chameleon Android nhắm vào người dùng ở Canada bằng cách ngụy trang thành ứng dụng Quản lý quan hệ khách hàng (CRM).

"Chameleon đã được phát hiện ngụy trang thành ứng dụng CRM, nhắm vào một chuỗi nhà hàng Canada hoạt động trên phạm vi quốc tế", nhóm bảo mật Hà Lan ThreatFabric cho biết trong một báo cáo kỹ thuật được công bố vào thứ Hai.

Chiến dịch này được phát hiện vào tháng 7 năm 2024, nhắm vào khách hàng ở Canada và Châu Âu, cho thấy dấu vết nạn nhân của nó đã mở rộng từ Úc, Ý, Ba Lan và Vương quốc Anh.

Việc sử dụng các chủ đề liên quan đến CRM cho các ứng dụng nhỏ giọt độc hại chứa phần mềm độc hại chỉ ra rằng mục tiêu là khách hàng trong lĩnh vực dịch vụ khách sạn và nhân viên Doanh nghiệp đến Người tiêu dùng (B2C).

Các hiện vật nhỏ giọt cũng được thiết kế để bỏ qua Cài đặt hạn chế do Google áp dụng trong Android 13 trở lên để ngăn các ứng dụng được tải từ bên ngoài yêu cầu các quyền nguy hiểm (ví dụ: dịch vụ trợ năng), một kỹ thuật trước đây được SecuriDroper và Brokewell sử dụng.

Sau khi cài đặt, ứng dụng sẽ hiển thị trang đăng nhập giả cho một công cụ CRM rồi hiển thị thông báo lỗi giả mạo yêu cầu nạn nhân cài đặt lại ứng dụng, trong khi thực tế, ứng dụng triển khai tải trọng Chameleon.

Sau bước này, ứng dụng sẽ tải lại trang web CRM giả mạo, lần này yêu cầu họ hoàn tất quy trình đăng nhập, nhưng lại hiển thị thông báo lỗi khác có nội dung "Tài khoản của bạn chưa được kích hoạt. Hãy liên hệ với phòng nhân sự".

Chameleon được trang bị để thực hiện gian lận trên thiết bị (ODF) và chuyển tiền gian lận của người dùng, đồng thời tận dụng các lớp phủ và quyền hạn rộng rãi của ứng dụng để thu thập thông tin xác thực, danh sách liên hệ, tin nhắn SMS và thông tin định vị địa lý.

"Nếu kẻ tấn công thành công trong việc lây nhiễm thiết bị có quyền truy cập vào dịch vụ ngân hàng doanh nghiệp, Chameleon sẽ có quyền truy cập vào các tài khoản ngân hàng doanh nghiệp và gây ra rủi ro đáng kể cho tổ chức", ThreatFabric cho biết. "Khả năng truy cập như vậy tăng cao đối với những nhân viên có vai trò liên quan đến CRM có thể là lý do khiến ứng dụng này được lựa chọn để ngụy trang trong chiến dịch mới nhất này".

Sự phát triển này diễn ra vài tuần sau khi IBM X-Force nêu chi tiết về một chiến dịch phần mềm độc hại ngân hàng Mỹ Latinh do nhóm CyberCartel thực hiện để đánh cắp thông tin đăng nhập và dữ liệu tài chính cũng như phát tán trojan có tên Caiman thông qua tiện ích mở rộng độc hại của Google Chrome.

"Mục tiêu cuối cùng của các hoạt động độc hại này là cài đặt một plugin trình duyệt có hại trên trình duyệt của nạn nhân và sử dụng kỹ thuật Man-in-the-Browser", công ty cho biết.

"Điều này cho phép kẻ tấn công thu thập thông tin ngân hàng nhạy cảm một cách bất hợp pháp, cùng với các dữ liệu có liên quan khác như thông tin máy bị xâm phạm và ảnh chụp màn hình theo yêu cầu. Các bản cập nhật và cấu hình được các tác nhân đe dọa phát tán qua kênh Telegram".

Hương – Theo TheHackerNews