NH Nonghyup Bank là một trong những tổ chức tài chính lớn nhất ở Hàn Quốc. Ứng dụng dịch vụ ngân hàng trực tuyến của họ được sử dụng rộng rãi trên các thiết bị di động và đạt lượng cài đặt từ 5 đến 10 triệu lượt.
Tin tặc đã lợi dụng sự phổ biến của ứng dụng này bằng cách cung cấp một bản cập nhật được tải về trên các website tải ứng dụng của bên thứ ba. Dĩ nhiên bản cập nhật này đã bị cài mã độc. Nó sử dụng lỗ hổng bảo mật Master Key trên các thiết bị Android để chèn một tập tin độc hại vào ứng dụng.
Trong tập tin nhiễm độc bị chèn vào, classes.dex có dung lượng 205 kb, nhỏ hơn so với phiên bản hợp pháp. |
Tin tặc này cũng cung cấp một phiên bản cài đặt có sẵn các trojan để dự trù trường hợp người dùng chưa cài ứng dụng dịch vụ ngân hàng trên thiết bị của họ. Khi ứng dụng này được mở, nó sẽ kích hoạt màn hình hiển thị một trang web giả mạo, sau đó yêu cầu người dùng nhập thông tin tài khoản của họ.
Trang web hiển thị khi người dùng mở ứng dụng bị nhiễm trojan. |
Khi người dùng thực hiện nhập thông tin, thông tin của họ sẽ được gửi đến một máy chủ dùng để điều khiển các mã độc.
Phát hiện đặc biệt này cho thấy việc lợi dụng lỗ hổng bảo mật Master Key nguy hiểm như thế nào đối với người dùng Android. Thực tế là nó đã bị lợi dụng để "cài trojan" vào một ứng dụng dịch vụ ngân hàng với tầm gây hại không kém gì các mối đe dọa ngân hàng trực tuyến mà chúng ta đã biết, vì nó không chỉ là nguy cơ rò rỉ thông tin cá nhân, mà còn gây ra những tổn thất tài chính.
Người dùng chỉ nên tải về các ứng dụng hoặc các bản cập nhật từ các nguồn đáng tin cậy, tốt nhất là từ các nguồn chính thức hoặc từ các cửa hàng ứng dụng.