Nga triệt phá nhóm hacker phát tán mã độc trên 800.000 điện thoại Android

Nhóm tội phạm mạng TipTop vừa bị cảnh sát Nga bắt giữ đã từng kiếm được từ 1.500 – 10.500 USD lợi nhuận mỗi ngày. Theo báo cáo từ năm 2015 đến nay, nhóm tin tặc này đã phát tán mã độc trên 800.000 thiết bị Android.

Nhóm tội phạm mạng đã tìm cách thuê lại những trojan ngân hàng trên Android từ các diễn đàn hacker ngầm, sau đó tích hợp vào ứng dụng. Mã độc được phân phối qua quảng cáo trên công cụ tìm kiếm hoặc cửa hàng ứng dụng của bên thứ ba.

TipTop chủ yếu sử dụng trojan ngân hàng Hqwar

Group-IB là công ty an ninh mạng đã giúp chính phủ Nga truy ra băng nhóm tội phạm này. Theo báo cáo, TipTop thường sử dụng một loại trojan ngân hàng có tên Hqwar (Agent.BID). Chương trình độc hại này được TipTop thuê để phát tán mã độc trong hầu hết các chiến dịch tấn công.

Hqwar có khả năng đọc tin nhắn SMS, ghi âm cuộc gọi điện thoại và thực hiện các lệnh USSD. Tuy nhiên chức năng chính của loại mã độc này là hiển thị màn hình đăng nhập giả lên màn hình các ứng dụng ngân hàng hợp pháp rồi đánh cắp thông tin đăng nhập của nạn nhân.

Group-IB cho biết TipTop đã tạm ngừng phân phối Hqwar vào năm 2016, sau đó chuyển sang thử nghiệm phần mềm của một số đối thủ cạnh tranh khác như Asacub (Honli), Cron và CatsElite (MarsElite). Tuy nhiên, có vẻ như Hqwar hoạt động hiệu quả hơn nên họ đã quay lại sử dụng mã độc này từ năm 2017, cùng với hai trojan khác là Lokibot và Marcher (Rahunok) để tăng cường tấn công.

Năm 2017, Kaspersky đã xếp Hqwar hạng tư trong top malware Android phổ biến. Một năm sau, Kaspersky đã trích dẫn Hqwar (cùng với Asacub) là một trong những nguyên nhân sâu xa dẫn đến việc gia tăng đột biến số lượng trojan ngân hàng trên thiết bị Android.

TipTop trực tiếp thực hiện tất cả quy trình tấn công, từ phân phối phần mềm độc hại thông qua cửa hàng ứng dụng bên thứ ba đến quảng cáo trên công cụ tìm kiếm. Nhóm tội phạm này sẽ phát tán mã độc bằng cách dẫn dụ người dùng nhấp vào liên kết đến các trang web cung cấp trojan và tải xuống, ẩn trong các phần mềm Android mà người dùng tải từ cửa hàng ứng dụng ngoài.

Tiptop nhắm mục tiêu vào người dùng Nga

Theo báo cáo, TipTop chủ yếu nhắm vào khách hàng của các ngân hàng Nga. Đầu năm nay, Group-IB đã phát hiện một trong những thành viên TipTop là một người đàn ông 31 tuổi đến từ thành phố Krasnoyarsk (Nga).

Nghi phạm được cho là “money mules” của TipTop, thành viên chịu trách nhiệm rút tiền từ nạn nhân và chuyển vào tài khoản chính của nhóm. Money mule là thuật ngữ ám chỉ cách những tên tội phạm chuyên thực hiện việc chuyển tiền bất hợp pháp. Vài hôm trước, người đàn ông này đã bị chính phủ Nga kết án hai năm tù treo.

Trong tài liệu không đề cập đến việc nghi phạm hợp tác với chính quyền. Tuy nhiên Bộ Nội vụ Nga cho biết họ đã thực hiện nhiều vụ bắt giữ khác bằng thông tin thu thập được từ người đàn ông 31 tuổi vừa bị kết án. Các nghi phạm khác đang bị điều tra. Group-IB đã xếp TipTop là băng tin tặc tấn công di động lớn nhất hoạt động ở Nga sau vụ phát tán mã độc Cron năm 2017.

Theo ZDNet