Cảnh báo Red Alert 2.0: Android Banking Trojan đang tấn công các ứng dụng ngân hàng và ứng dụng xã hội.

Cập nhập 19/09/2017:

          Cập nhập danh sách 86 mã độc (SHA256) của Red Alert 2.0:

0f119ee208f1cec92585ebcce7d1ec0106ce874ef240b9e7496f649821cfea3b

06820ac50bfaea59826a05e508c06f15f7369ee1e233f7d89313c43ff197f269

930b1d56b7fe94bd62eba30a3641ec3c430b2499d771a12f080b99654bb296e8

b83bd8c755cb7546ef28bac157e51f04257686a045bbf9d64bec7eeb9116fd8a

2dc19f81352e84a45bd7f916afa3353d7f710338494d44802f271e1f3d972aed

94da7468a04b6a691a33adfd6aa0cfca2a3045a0035d9780b7bc410807c75e16

d748d74c0c03ce58d588e7058cb0937816b7ade79fca3b4d3c75f623344f825d

a3b36a5f03c5cfe61556b91a25ca9d046a58a55c51fd932f80debefe2467905a

531fdf40722ac70f1f87ff02e4c6aaada98dd4ee40a7f0587e52305977da449b

89aa7c0ac2dd32dc5dab04fcaf58c215b00966df24d8eb840edbda03b6936619

4ad9efaac55074341eeba545841ae8e909799f6a9004ef3c58111d4c0156e2db

255049f1e8a79f236cae2542770e059b8ced26e4251405adb5e0299aa278c68e

f1df4bfe7cec7457ae280d2f66898e1a9e282628d6a5b0ca026f6b9c77ee120e

579b632213220f9fd2007ff6054775b7c01433f4d7c43551db21301b2800cd8c

360c77f6a682206d087419445a71c4b4863e56957e2bf34c53cef71a46f58b38

d4adfff03c21d80e717eafe7576c1e9cc9069a855fe078dddc312a05bb9fc77c

a7c9cfa4ad14b0b9f907db0a1bef626327e1348515a4ae61a20387d6ec8fea78

cf5ffdbc9e7b5c96d6cc512f6bd34e4a0b10a20f1f903d7e4a862296cac30973

79f802e5750c28b6f72ba1bab3fe79883588c76a320b61cfe80164c7dc2ce5c3

546e015f9cd9d958efe770ef3229be99473272e6f21f4e588f0bb700c4e55938

23735aab26942886bb310f6abe1f3f97b094b9657f238e02f445e6d2ddff2281

0d0490d2844726314b7569827013d0555af242dd32b7e36ff5e28da3982a4f88

59c0df4c9191592dc279641d0491a489376677e954cd5129738433706e1bf3a7

3948a4e56f7ce83ec810250ca787e078f5dd53431c0e126820175c5de265e5c4

1adb99103f802fa5fa21233622dd96b14ffa7aca07c81446a7735517fa462dad

1264ed801862650ecd95676f78ca7153a74bd4c3658fd3cb6786e60ec0ec640a

9fae2cfddac7983ee2dacbdd72478189e3ed3004e38e1af0f8a7bc17d0d91cef

eb8c155e18587ccad611b63593febc478f4bef10160045fa4b4b6f3c7c64129b

fbaf82d9522b73125865c3c722682303793aff975ea52a34f1c455fda4b1eddb

9eaa3bb33c36626cd13fc94f9de88b0f390ac5219cc04a08ee5961d59bf4946b

bf7d8733d42696a4007d8994c93f772d7ebb8ef94e81e0fe5c1b6a1ca51f93d1

8a19a2a10b25a9dc8313a6427401c29b92b8f3ff1c0bd8cd91c132816bb6de27

f923a3a4419e15e3b58303ae64e8431f39cabe30d1ad3d12ed74ab665bc9a872

2fd3ce1de240ba92c3706c8e89be05bf9fcbb24322a59a262fd0ce73ab89b118

79424db82573e1d7e60f94489c5ca1992f8d65422dbb8805d65f418d20bbd03a

4d74b31907745ba0715d356e7854389830e519f5051878485c4be8779bb55736

1672bece07f0b2350093317fed5e390e1bfe59206b4b88b8523fa25464c7e73a

8b09f8e103f7b55399173e08cda6bb48eac5871cf4925700e62318c0a155e22d

738094b26dc0505eb93f371d149d933c597c3ee18213bba0007c6a5bdb8fd80c

522c0d40d1f483563a531b5eb757ddd64346bc02a618d36516e1a03a1bd62507

1740f873dfb5e891d263f987feb69671d5b0228217bbd9951ba1c5f05f5ee48f

2a2e5530c95faea092331a99cd0c711125ad082cb510b5d2ba0d87076f01033f

3a5ddb598e20ca7dfa79a9682751322a869695c500bdfb0c91c8e2ffb02cd6da

da5992a594390b67ae367741abe8da0e2517373838418b73576346264121b93b

aeaef35ad30eafff679c01dc6237093f87e9bd13277cd4698d30a73860437eec

db393d0a7dafdf625d30d30e92d3b83bea4ae30024adc0de0fe7ae71ff8e200d

ead0f2acf9314a66b6aad039c3637ccda801ef08d6f9fe61864f5b19ccb64f44

f28bddb2eb21582f899075e04c38db247e1b00006af7fbd8caaf4b62446a1c4c

33c72a6ea2e7a5290496bfbb00a58da676e1518c4ffffa6d39dbe85436e343f0

fe209bcb2f9f535c178a51f64b847587a15a1455447ac128fbc2225973f0d617

59861fc985150c51ee0844fe4709fbce26ac74d4225bd8b5706e169b7125f63a

409abe6a38f456c09189e4750dce0cb55c5e561627a4a28fec62700e71b6f47a

54bc899114d3dc8b7d37c4170b40c028d86b98a9406cd1bf800ed59ec194730a

c78bb0a30b8ecdcab4ea001852a50bc096bb276c0175c515525a581df3499fc7

a5db9e4deadb2f7e075ba8a3beb6d927502b76237afaf0e2c28d00bb01570fae

f32b2e4f715197b1d12c195615bb7843a45eb8d6966bec8d6d44c1783d3e92d8

3ea47ac27f71e9f917f3e5ed5b4d58fc2492be80002dfc7bfa7e02df923bd750

36cbe3344f027c2960f7ac0d661ddbefff631af2da90b5122a65c407d0182b69

dc11d9eb2b09c2bf74136b313e752075afb05c2f82d1f5fdd2379e46089eb776

956be9b54bd777259b20e0b0e5ad1cfa034b1a7be51a7218c3cccc3dbf246390

c1c8e86c7c5d2b1e860f71ebbf5525eac8225b4def28e1621a5689593c361d18

a72d23c6f170722fed12559ecea95b49adac434d30649577c372cc2e1b36b68c

7ed10c05baaf026840dc7239b24381f865191a32031f49339f76246858f65c65

7d8e9068eaecb434a5bb8599dfb97e70ce12e71e15db0c3b2320f60bc3e31e97

bb0c8992c9eb052934c7f341a6b7992f8bb01c078865c4e562fd9b84637c1e1b

58391ca1e3001311efe9fba1c05c15a2b1a7e5026e0f7b642a929a8fed25b187

9446a9a13848906ca3040e399fd84bfebf21c40825f7d52a63c7ccccec4659b7

3e47f075b9d0b2eb840b8bbd49017ffb743f9973c274ec04b4db209af73300d6

7efb92bba9ec1214683fbda4d80c79568e334fd5a9ba6759fb2db97a9532485a

05ea7239e4df91e7ffd57fba8cc81751836d03fa7c2c4aa1913739f023b046f0

1df8c3867132e9d55f0f31fdd617ba9560861b6e857487e78b3834d10be47b13

d4dd58d8e159bacfb486a73598146d111be4b4235f47bc02366eb55dba70bb9c

2fedcff9d1e44210f14e7eb651f9d556309aaad16b67c26f8dda47ecad7f8191

30b3e7f3fa8319183831f5445b514c6f514071b77b6cbac5550a6dfecfc190ed

5d4121aeecbffe117405c2fb81a59c3623346a25ac57270f9d64d58c6f174d98

1824dbffd1d43c3f3ac2bec19aff94036c08aa44814a104d07eb9b6cf012dc9e

359341b5b4306ef36343b2ed5625bbbb8c051f2957d268b57be9c84424affd29

236411176f311c90039d2e8f8eb92129ca1eca13820274d835d29ddd04caea6f

ef5eb4b1b137330722f184f08b3ef25f41b0e697e639fa5ee5692503e880a480

307f1b6eae57b6475b4436568774f0b23aa370a1a48f3b991af9c9b336733630

5aa9e51da19ecb06db6be13091c8492b7964581e5ca7f81df638760c8178a8d7

79e7caf542e7756f6d3b95d8bb4ef03ab1650752e94b503826545949284ff25a

880765bac7846d35b7baef3ba5c31ba32843df789eacf061890fb51a926aca30

3f92394b974df196c0c9b30d4739861c374bba9937d7e6ae57c6960c1a175e85

fa475b227f082d29449eaee811d5a06740d1592431440c6ab66e54ec9be1ce4b

790b7b5fba756ed930681207590e060b0369758be6a123a340bbf01860c356b0

52b6d6de406dd5c2cb60f633be378969376ae889e0430b4de924927a46f098aa

 

Bản tin 14/09/2017:

Theo một báo cáo, các nhà nghiên cứu bảo mật từ SfyLabs lần đầu tiên tìm thấy các quảng cáo ẩn chứa trojan này trên một diễn đàn hacking dành cho tội tội phạm nói tiếng Nga vào đầu năm nay. Và trong những tuần vừa qua, các nhà nghiên cứu đã xác định được ứng dụng đầu tiên bị nhiễm trojan mới này và đã theo dõi các máy chủ C&C được sử dụng để quản lý từ xa điều khiển trojan này. đặc biệt tất cả các ứng dụng đang phát tán Red Alert 2.0 được lưu trữ trên các cửa hàng ứng dụng Android của bên thứ ba,  không có ứng dụng Red Alert nào xuất hiện trên Cửa hàng Google Play chính thức tại thời điểm viết.

Red Alert 2.0 là một trojan mới nhắm tới mục tiêu thuộc lĩnh vực ngân hàng, trojan này hoạt động tương tự như các mối đe dọa trong quá khứ. Trojan chờ đợi và ẩn nấp cho đến khi người dùng mở một ứng dụng ngân hàng trực tuyến. Khi điều này xảy ra, trojan hiển thị lớp phủ HTML dựa trên ứng dụng ban đầu, cảnh báo người dùng về lỗi và yêu cầu người dùng kiểm tra lại. Sau đó Red Alert 2.0 thu thập thông tin xác thực của người dùng và gửi chúng tới máy chủ C&C. Những người có quyền kiểm soát bảng điều khiển của Red Alert 2.0 sẽ lấy các thông tin này và truy cập tài khoản ngân hàng của nạn nhân để thực hiện các giao dịch gian lận hoặc các ứng dụng truyền thông xã hội. Red Alert 2.0 cũng tích hợp tính năng thu thập danh sách liên lạc từ các thiết bị bị nhiễm bệnh. Ngoài ra, nó có thể để bỏ qua xác thực hai yếu tố và ngăn chặn bất kỳ thông báo nào và trojan này cũng sẽ nhận chức năng SMS của điện thoại bị nhiễm bệnh. Một tính năng khác của trojan này rất đáng đươc chú ý là khả năng tự động chặn cuộc gọi đến từ các số liên quan đến ngân hàng và các tố chức tài chính. Bên cạnh đó, Red Alert 2.0 sử dụng Twitter làm cơ sở hạ tầng C&C Backup khi máy chủ lệnh và kiểm soát của nó trong tình trang ngoại tuyến.Hiện tại trojan này đang được cung cấp cho thuê trên nhiều trang Web đen với  giá 500U$D/tháng. Đến nay Red Alert 2.0 hiện đang tấn công và lây nhiễm trên 60 ứng dụng của ngân hàng và ứng dụng truyền thông xã hội trên toàn thế giới, nó hoạt động trên Android 6.0 Marshmallow và các phiên bản trước đó.

 

 Bảng điều khiển Red Alert 2.0 sử dụng Twitter làm cơ sở hạ tầng C&C Backup

1. Các quyền truy cập của Red Alert 2.0 bao gồm:

android.permission.CHANGE_NETWORK_STATE (thay đổi kết nối mạng)

android.permission.DISABLE_KEYGUARD (Vô hiệu hóa key lock)

android.permission.INTERNET (Toàn quyền truy cập Internet)

android.permission.SEND_SMS (Toàn quyền gởi tin nhắn SMS)

android.permission.WRITE_SMS (Cho phép chỉnh sửa nội dung tin nhắn SMS hoặc MMS)

android.permission.ACCESS_NETWORK_STATE (Hiển thị toàn bộ tình trạng thông tin Network)

android.permission.GET_TASKS (lấy các ứng dụng đang chạy)

android.permission.READ_CALL_LOG (đọc nhật ký cuộc gọi của người dùng.)

android.permission.PACKAGE_USAGE_STATS (cập nhật số liệu thống kê sử dụng thành phần)

android.permission.BROADCAST_PACKAGE_REMOVED (gửi gói đã gỡ bỏ phát sóng)

android.permission.RECEIVE_BOOT_COMPLETED (tự động khởi động)

android.permission.CALL_PHONE (trực tiếp gọi số điện thoại)

android.permission.READ_PHONE_STATE (đọc trạng thái và danh tính điện thoại)

android.permission.READ_SMS (đọc SMS hoặc MMS)

android.permission.VIBRATE (kiểm soát vibrator - chức năng báo rung)

android.permission.SYSTEM_ALERT_WINDOW (hiển thị cảnh báo cấp hệ thống)

android.permission.ACCESS_WIFI_STATE (xem trạng thái Wi-Fi)

android.permission.RECEIVE_MMS (nhận MMS)

android.permission.WAKE_LOCK (ngăn điện thoại ngủ)

android.permission.CHANGE_WIFI_STATE (change Wi-Fi status)

android.permission.RECEIVE_SMS (nhận tin nhắn SMS)

android.permission.READ_CONTACTS (đọc dữ liệu danh bạ)

2. Danh sách các ứng dụng trực tuyến của ngân hàng đang bị tấn công:

aib.ibank.android

au.com.bankwest.mobile

au.com.cua.mb

au.com.mebank.banking

au.com.nab.mobile

au.com.newcastlepermanent

au.com.suncorp.SuncorpBank

com.akbank.android.apps.akbank_direkt

com.anz.android.gomoney

com.axis.mobile

com.bankofireland.mobilebanking

com.bbva.bbvacontigo

com.caisseepargne.android.mobilebanking

com.chase.sig.android

com.citibank.mobile.au

com.cm_prod.bad

com.comarch.security.mobilebanking

com.commbank.netbank

com.csam.icici.bank.imobile

com.finansbank.mobile.cepsube

com.garanti.cepsubesi

com.infonow.bofa

com.instagram.android

com.konylabs.capitalone

com.konylabs.cbplpat

com.latuabancaperandroid

com.nearform.ptsb

com.palatine.android.mobilebanking.prod

com.pozitron.iscep

com.sbi.SBIFreedomPlus

com.snapwork.hdfc

com.suntrust.mobilebanking

com.tmobtech.halkbank

com.unionbank.ecommerce.mobile.android

com.vakifbank.mobile

com.wf.wellsfargomobile

com.ykb.android

com.ziraat.ziraatmobil

de.comdirect.android

de.commerzbanking.mobil

de.postbank.finanzassistent

es.cm.android

es.lacaixa.mobile.android.newwapicon

eu.eleader.mobilebanking.pekao

fr.banquepopulaire.cyberplus

fr.creditagricole.androidapp

fr.laposte.lapostemobile

fr.lcl.android.customerarea

in.co.bankofbaroda.mpassbook

it.nogood.container

net.bnpparibas.mescomptes

org.stgeorge.bankorg.westpac.bank

pl.bzwbk.bzwbk24

pl.bzwbk.mobile.tab.bzwbk24

pl.eurobank

pl.ipko.mobile

pl.mbank

pl.millennium.corpApp

src.com.idbi

wit.android.bcpBankingApp.millenniumPL

3. Danh sách các ứng dụng xã hội đang bị tấn công:

Update Flash Player

Package name: com.patixof.dxtrix

SHA-256: a7c9cfa4ad14b0b9f907db0a1bef626327e1348515a4ae61a20387d6ec8fea78

Update Flash Player

Package name: com.acronic

SHA-256: bb0c8992c9eb052934c7f341a6b7992f8bb01c078865c4e562fd9b84637c1e1b

Update Flash Player

Package name: com.glsoftwre.fmc

SHA-256: 79424db82573e1d7e60f94489c5ca1992f8d65422dbb8805d65f418d20bbd03a

Update Flash Player

Package name: com.aox.exsoft

SHA-256: 4d74b31907745ba0715d356e7854389830e519f5051878485c4be8779bb55736

Viber

Package name: com.aox.exsoft

SHA-256: 2dc19f81352e84a45bd7f916afa3353d7f710338494d44802f271e1f3d972aed

Android Update

Package name: com.aox.exsoft

SHA-256: 307f1b6eae57b6475b4436568774f0b23aa370a1a48f3b991af9c9b336733630

Update Google Market

Package name: com.aox.exsoft

SHA-256: 359341b5b4306ef36343b2ed5625bbbb8c051f2957d268b57be9c84424affd29

WhatsApp

Package name: com.aox.exsoft

SHA-256: 9eaa3bb33c36626cd13fc94f9de88b0f390ac5219cc04a08ee5961d59bf4946b

Update Flash Player

Package name: com.aox.exsoft

SHA-256: dc11d9eb2b09c2bf74136b313e752075afb05c2f82d1f5fdd2379e46089eb776

Update WhatsApp

Package name: com.aox.exsoft

SHA-256: 58391ca1e3001311efe9fba1c05c15a2b1a7e5026e0f7b642a929a8fed25b187

Android Update

Package name: com.aox.exsoft

SHA-256: 36cbe3344f027c2960f7ac0d661ddbefff631af2da90b5122a65c407d0182b69

Update Flash Player

Package name: com.aox.exsoft

SHA-256: a5db9e4deadb2f7e075ba8a3beb6d927502b76237afaf0e2c28d00bb01570fae

Update Flash Player

Package name: com.aox.exsoft

SHA-256: 0d0490d2844726314b7569827013d0555af242dd32b7e36ff5e28da3982a4f88

Update Flash Player

Package name: com.excellentsft.xss

SHA-256: 3e47f075b9d0b2eb840b8bbd49017ffb743f9973c274ec04b4db209af73300d6

Ebookreader

Package name: com.clx.rms

SHA-256: 05ea7239e4df91e7ffd57fba8cc81751836d03fa7c2c4aa1913739f023b046f0

Update Flash Player

Package name: com.glsoftwre.fmc

SHA-256: 9446a9a13848906ca3040e399fd84bfebf21c40825f7d52a63c7ccccec4659b7

Update Flash Player

Package name: com.kmc.prod

SHA-256: 3a5ddb598e20ca7dfa79a9682751322a869695c500bdfb0c91c8e2ffb02cd6da

Android Update

Package name: com.kmc.prod

SHA-256: b83bd8c755cb7546ef28bac157e51f04257686a045bbf9d64bec7eeb9116fd8a

Biện pháp phòng tránh:

Để tránh nguy cơ bị tấn công bởi mã độc, khuyến cáo người dùng không tải và cài đặt ứng dụng thông qua các liên kết ( qua tin nhắn SMS hay email) không rõ nguồn gốc hoặc các kho lưu trữ không rõ, luôn kiểm tra xác minh quyền truy cập của ứng dụng trước khi cài đặt bất kỳ ứng dụng nào. Ngoài ra, luôn luôn cập nhật ứng dụng hệ thống và luôn luôn nên cài đặt ứng dụng chống vi-rút từ một nhà cung cấp có uy tín để phát hiện và ngăn chặn Trojan đó trước khi nó có thể lây nhiễm sang thiết bị của bạn.

Nguồn: https://clientsidedetection.com/new_android_trojan_targeting_over_60_banks_and_social_apps.html

0 Bình luận