Theo Group-IB, công ty an ninh mạng hỗ trợ cảnh sát Nga truy tìm các thành viên của TipTop, nhóm tin tặc này đã tìm cách mua hoặc thuê lại trojan Android từ diễn đàn hacker ngầm hoặc darkweb, sau đó tạo các phần mềm giả ứng dụng nổi tiếng nhằm dụ dỗ người dùng tải về.
|
Gần một triệu smartphone Android tại Nga đã bị nhóm TipTop tấn công. |
Mã độc mà TipTop thường sử dụng có tên Hqwar (Agent.BID), một trojan có khả năng đọc tin nhắn trên thiết bị lây nhiễm, ghi âm cuộc gọi và thực hiện các lệnh USSD. Tuy nhiên, chức năng chính của nó là tạo màn hình đăng nhập giả của các ứng dụng ngân hàng, sau đó đánh cắp thông tin mà nạn nhân nhập vào.
Group-IB cho biết, TipTop sử dụng Hqwar từ 2015 nhưng tạm ngừng vào 2016 để chuyển sang các phần mềm độc hại khác, như Asacub (Honli), Cron hay CatsElite (MarsElite). Tuy nhiên, nhóm tội phạm sau đó dùng trở lại mã độc này, đồng thời kết hợp với hai trojan khác mang tên Lokibot và Marcher để tăng khả năng tấn công.
Mỗi ngày, TipTop có thể kiếm về 1.500 đến 10.500 USD từ việc lừa người dùng tải phần mềm độc hại và đánh cắp dữ liệu của họ.
Năm 2017, Kaspersky đã xếp Hqwar là mã độc Android phổ biến thứ tư. Một năm sau, hãng bảo mật này cho biết Hqwar là một trong những nhân tố khiến số lượng trojan nhằm vào ngân hàng tăng vọt.
Cũng theo Group-IB, mục tiêu tấn công của TipTop chủ yếu nhằm vào người dùng Nga. Trong khi đó, cảnh sát Nga đánh giá đây là vụ triệt phá lớn nhất liên quan đến một băng nhóm chuyên tấn công bằng mã độc trên thiết bị di động, sau đường dây phát tán mã độc Cron hồi 2017.
Theo VnExpress
https://vnexpress.net/so-hoa/canh-sat-nga-triet-pha-bang-nhom-tung-ma-doc-android-3975136.html