Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại di động Trojan ngân hàng Datzbro

Trojan ngân hàng Datzbro

Đến năm Mezo năm Phần mềm độc hại di động, Trojan ngân hàng
Dịch sang:

Các nhà nghiên cứu an ninh mạng gần đây đã phát hiện ra một trojan ngân hàng Android chưa từng được ghi nhận trước đây có tên Datzbro, được thiết kế để thực hiện các cuộc tấn công chiếm quyền điều khiển thiết bị (DTO) và thực hiện các giao dịch tài chính gian lận. Phần mềm độc hại này chủ yếu nhắm vào người dùng cao tuổi, lợi dụng lòng tin của họ thông qua các chiến dịch tấn công kỹ thuật xã hội dựa trên mạng xã hội.

Kỹ thuật xã hội thông qua các nhóm Facebook

Chiến dịch này được phát hiện lần đầu tiên vào tháng 8 năm 2025 sau khi nhận được báo cáo từ người dùng Úc. Các tác nhân đe dọa đã quản lý các nhóm Facebook quảng cáo "các chuyến đi năng động cho người cao tuổi", nhắm mục tiêu đến những người cao tuổi quan tâm đến các hoạt động xã hội, sự kiện và các buổi tụ họp trực tiếp. Các khu vực khác bị ảnh hưởng bao gồm Singapore, Malaysia, Canada, Nam Phi và Vương quốc Anh.

Các nhóm Facebook này thường chia sẻ nội dung do AI tạo ra, tuyên bố tổ chức các sự kiện cho người cao tuổi. Nếu mục tiêu bày tỏ sự quan tâm, kẻ tấn công sẽ tiếp cận họ qua Facebook Messenger hoặc WhatsApp, yêu cầu họ tải xuống tệp APK từ một liên kết lừa đảo (ví dụ: download.seniorgroupapps.com).

Các trang web giả mạo quảng cáo cái gọi là ứng dụng cộng đồng, tuyên bố rằng ứng dụng này sẽ cho phép người cao tuổi:

  • Đăng ký tham gia sự kiện và hoạt động.
  • Kết nối với các thành viên khác trong nhóm.
  • Theo dõi lịch trình sắp tới.

Một số trang web thậm chí còn chứa các liên kết giữ chỗ cho ứng dụng iOS, cho thấy kẻ tấn công muốn nhắm mục tiêu vào cả người dùng Android và iOS, phân phối ứng dụng TestFlight cho iOS nhằm lừa nạn nhân.

Datzbro lây nhiễm thiết bị như thế nào

Khi nạn nhân tải xuống ứng dụng Android, nạn nhân sẽ:

  • Cài đặt phần mềm độc hại trực tiếp trên thiết bị hoặc
  • Triển khai dropper được tạo bằng Zombinder, một dịch vụ liên kết APK giúp bỏ qua các hạn chế bảo mật trên Android 13 trở lên.

Một số ứng dụng độc hại đã được xác định phân phối Datzbro, bao gồm:

  • Nhóm người cao tuổi (twzlibwr.rlrkvsdw.bcfwgozi)
  • Những năm tháng sôi động (orgLivelyYears.browses646)
  • ActiveSenior (com.forest481.security)
  • DanceWave (inedpnok.kfxuvnie.mggfqzhl)
  • công cụ (io.mobile.Itool)
  • 麻豆传媒 (fsxhibqhbh.hlyzqkd.aois)
  • 麻豆传媒 (mobi.audio.aassistant)
  • 谷歌浏览器 (tvmhnrvsp.zltixkpp.mdok)
  • MT管理器 (varuhphk.vadneozj.tltldo)
  • MT管理器 (spvojpr.bkkhxobj.twfwf)
  • 大麦 (mnamrdrefa.edldylo.zish)
  • MT管理器 (io.red.studio.tracker)

Năng lực và Mối đe dọa Tài chính

Datzbro sở hữu nhiều chức năng chống phần mềm gián điệp và gian lận tài chính, bao gồm:

  • Ghi âm và chụp ảnh.
  • Truy cập tệp và ảnh.
  • Thực hiện các cuộc tấn công phủ lớp, ghi lại thao tác phím và điều khiển thiết bị từ xa.
  • Sử dụng dịch vụ trợ năng của Android để thực hiện các hành động tự động thay mặt cho nạn nhân.

Một tính năng nổi bật là chế độ điều khiển từ xa dạng sơ đồ, cho phép kẻ tấn công gửi thông tin chi tiết về tất cả các thành phần màn hình, vị trí và nội dung của chúng. Điều này cho phép chúng sao chép giao diện và điều khiển hoàn toàn thiết bị từ xa.

Ngoài ra, Datzbro có thể:

  • Hiển thị lớp phủ bán trong suốt với văn bản tùy chỉnh để ẩn hoạt động độc hại.
  • Đánh cắp mã PIN và mật khẩu màn hình khóa thiết bị cho Alipay và WeChat.
  • Quét nhật ký sự kiện trợ năng cho các ứng dụng ngân hàng hoặc ví tiền điện tử và trích xuất thông tin đăng nhập.

Các chức năng này làm nổi bật mục tiêu lợi nhuận tài chính của phần mềm độc hại, biến phần mềm gián điệp thành mối đe dọa tinh vi nhằm đánh cắp thông tin ngân hàng nhạy cảm.

Cơ sở hạ tầng phân bổ và chỉ huy-kiểm soát

Phân tích cho thấy Datzbro có liên quan đến một nhóm tin tặc nói tiếng Trung Quốc, bằng chứng là các chuỗi ghi nhật ký và gỡ lỗi bằng tiếng Trung Quốc trong mã nguồn của phần mềm độc hại. Không giống như nhiều nhóm phần mềm độc hại khác dựa vào bảng điều khiển C2 (C2 panel) trên web, Datzbro kết nối với một ứng dụng máy tính để bàn tiếng Trung Quốc để thực hiện các hoạt động chỉ huy và kiểm soát.

Phiên bản biên dịch của ứng dụng C2 này đã bị rò rỉ vào kho lưu trữ virus công cộng, cho thấy phần mềm độc hại hiện có thể được phân phối tự do giữa những tên tội phạm mạng, làm tăng khả năng tiếp cận của nó.

Ý nghĩa đối với bảo mật di động

Việc phát hiện ra Datzbro minh họa sự phát triển của các mối đe dọa di động, đặc biệt là những mối đe dọa khai thác kỹ thuật xã hội để nhắm vào nhóm dân số dễ bị tổn thương. Bằng cách tập trung vào người cao tuổi và lợi dụng các sự kiện tưởng chừng vô hại trên Facebook, kẻ tấn công có thể leo thang một tương tác xã hội đơn giản thành chiếm quyền thiết bị, đánh cắp thông tin đăng nhập và gian lận tài chính.

Chiến dịch này nhấn mạnh tầm quan trọng của việc cảnh giác trong bảo mật di động, đặc biệt là đối với người dùng lớn tuổi, những người có thể bị nhắm mục tiêu thông qua các mạng xã hội dựa trên sự tin cậy.

xu hướng

Tin nhắn lừa đảo qua email đang chờ bạn chú ý

Lừa đảo, Thư rác
Email vẫn là một trong những phương thức tấn công phổ biến nhất của tội phạm mạng, và các vụ lừa đảo được ngụy trang dưới dạng thông báo tài khoản đặc biệt nguy hiểm. Một trong những chiến dịch lừa đảo như vậy là email lừa đảo "Tin nhắn đang chờ bạn chú ý", lừa người nhận truy cập vào các trang web lừa đảo được thiết kế để đánh cắp thông tin đăng nhập nhạy cảm. Việc hiểu rõ cách thức hoạt động...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
34,575
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...