Các chuyên gia an ninh mạng vừa phát hiện ra một malware nguy hiểm mới, nhắm đến những thiết bị Android. Cụ thể, hồi năm 2021, các nhà nghiên cứu đã phát hiện ra 1 malware được đặt tên là ERMAC đang tấn công những thiết bị Android. Giờ đây, các chuyên gia an ninh mạng từ ESET đã phát hiện ra rằng một phiên bản mới của trojan này, được gọi là ERMAC 2.0, hiện đang hoạt động.
Malware này nhắm đến các thiết bị Android thông qua 467 ứng dụng lấy cắp thông tin xác thực cũng như thông tin ngân hàng của người dùng. Theo các chuyên gia an ninh mạng, ERMAC 2.0 thực hiện điều này bằng cách mạo danh những ứng dụng phổ biến. Cyble Research Labs cũng phát hiện ra rằng các tác nhân đe dọa có thể thuê malware này với khoản phí hàng tháng khổng lồ lên đến 5.000 USD. Được phát hiện chính thức vào tháng 08/2021, ERMAC 1.0 tận dụng 378 ứng dụng và đang được cho thuê với giá 3.000 USD/tháng. Trong một bài đăng trên blog, Cyble Research Labs lưu ý: “Chúng tôi đã quan sát thấy ERMAC 2.0 đang được phân phối thông qua các trang web giả mạo.” Các chuyên gia bổ sung thêm rằng ERMAC 2.0 cũng lây lan qua các trang cập nhật trình duyệt giả mạo.
Malware này hoạt động như thế nào?
Khi ai đó cài đặt ERMAC 2.0 thông qua một ứng dụng giả mạo, malware sẽ yêu cầu 43 quyền từ thiết bị của người dùng. Nếu được cấp những quyền này, kẻ xấu có thể kiểm soát hoàn toàn thiết bị của nạn nhân. Các quyền khác có thể giúp tin tặc truy cập SMS, danh bạ, tạo cửa sổ cảnh báo hệ thống, ghi âm hoặc khả năng truy cập đọc/ghi bộ nhớ đầy đủ. Theo Tech Radar, một số quyền nhất định cũng có thể tạo danh sách các ứng dụng được cài đặt trên thiết bị của nạn nhân và chia sẻ dữ liệu đó với máy chủ C2 của tin tặc. Điều này có thể giúp dựng nên một sơ đồ lừa đảo phức tạp, thu thập dữ liệu của người dùng bất cứ khi nào họ cố gắng đăng nhập vào ứng dụng bị ảnh hưởng. Một số trang lừa đảo đang được sử dụng để lừa nạn nhân bao gồm các ứng dụng ngân hàng như bitbank (Nhật Bản), IDBI Bank (Ấn Độ), Greater Bank (Úc) hay Santander Bank có trụ sở tại Boston, Mỹ.
