Tin bảo mật mới nhất về mối đe dọa mạng trên Android cho thấy một chiến dịch malware banking mới, được theo dõi với tên KYCShadow, đang nhắm vào người dùng ngân hàng thông qua luồng xác minh KYC giả mạo. Mã độc này được phát tán qua WhatsApp và đánh lừa nạn nhân cài đặt một ứng dụng trông giống dịch vụ tuân thủ ngân hàng hợp lệ.
KYCShadow và cơ chế lừa đảo KYC giả mạo
KYCShadow khai thác quy trình Know Your Customer (KYC) vốn đã quen thuộc với nhiều người dùng ngân hàng. Ứng dụng giả mạo hiển thị các màn hình xác minh từng bước, khiến nạn nhân nhập thông tin nhạy cảm như số điện thoại, ATM PIN, số Aadhaar và thông tin thẻ.
Sau khi hoàn tất các bước, một thông báo xác nhận giả hiển thị trạng thái “verification is in progress”, trong khi dữ liệu đã được chuyển tới máy chủ điều khiển từ xa tại jsonapi[.]biz. Đây là dấu hiệu điển hình của rò rỉ dữ liệu nhạy cảm trong một chiến dịch tấn công mạng được ngụy trang kỹ lưỡng.
Chuỗi lây nhiễm hai giai đoạn
Chiến dịch này được mô tả như một two-stage dropper. Ứng dụng đầu tiên hoạt động như bộ nạp, giải mã và triển khai payload độc hại thứ hai ở nền, giúp che giấu thành phần nguy hiểm trong giai đoạn đầu để tránh bị phát hiện sớm.
Khi dropper được khởi chạy, nó hiển thị màn hình “Update Required” với một nút duy nhất “Install Update”, mô phỏng lời nhắc hệ thống. Sau khi người dùng nhấn, ứng dụng yêu cầu kết nối VPN và bật cài đặt từ nguồn không xác định.
Hành vi của payload thứ hai trong cuộc tấn công mạng
Sau khi được giải mã, file độc hại được ghi vào bộ nhớ tạm thời và cài âm thầm qua Android PackageInstaller API. Payload thứ hai, được xác định là com.am5maw3.android, tự ẩn biểu tượng launcher để không để lại dấu vết rõ ràng trên thiết bị nhiễm.
Ứng dụng này đăng ký với Firebase Cloud Messaging (FCM) để tạo kênh điều khiển từ xa dạng push bền vững. Cơ chế này cho phép kẻ điều khiển gửi lệnh liên tục mà không cần tương tác trực tiếp với giao diện ứng dụng.
Quyền truy cập bị lạm dụng
Payload thứ hai yêu cầu các quyền liên quan đến:
- SMS access để đọc và chặn OTP theo thời gian thực.
- Phone call control để thực hiện hoặc chuyển hướng cuộc gọi.
- Battery optimization exemption để duy trì hoạt động nền liên tục.
Nhờ các quyền này, malware có thể trích xuất tin nhắn, chuyển tiếp SMS từ xa, thực hiện cuộc gọi mà không cần thao tác của người dùng và tiếp tục chạy ngay cả khi thiết bị ở trạng thái nhàn rỗi. Đây là rủi ro bảo mật trực tiếp đối với tài khoản ngân hàng và luồng xác thực OTP.
KYCShadow và cơ chế VPN toàn đường hầm
Điểm đáng chú ý trong mối đe dọa mạng này là việc malware kích hoạt một full-tunnel VPN, chuyển toàn bộ lưu lượng thiết bị qua lớp kiểm soát của kẻ tấn công. Điều này giúp giám sát, lọc hoặc chặn kết nối ra ngoài tới các dịch vụ bảo mật, làm giảm khả năng phát hiện và báo cáo sự cố.
Trong bối cảnh hệ thống bị xâm nhập, cơ chế VPN như vậy có thể làm méo tín hiệu giám sát mạng và che giấu hoạt động đáng ngờ khỏi các công cụ bảo vệ người dùng đầu cuối.
Chi tiết kỹ thuật về dropper và cơ chế giải mã
Dropper bắt đầu hoạt động ngay khi được mở và hiển thị giao diện “Update Required” nhằm đánh lừa người dùng. Khi nạn nhân chấp thuận các yêu cầu, ứng dụng tiến hành giải mã payload nhúng bằng một thuật toán XOR gắn với chính package name của nó.
Cách triển khai này khiến payload khó bị trích xuất hoặc phân tích nếu không có package name chính xác và logic giải mã. Sau khi giải mã, file được lưu trong bộ nhớ tạm và cài đặt im lặng, tạo điều kiện cho hệ thống bị tấn công mà không xuất hiện lời nhắc rõ ràng.
Hành vi điều khiển từ xa
Payload thứ hai hỗ trợ các lệnh sau:
- Real-time SMS interception.
- Bulk inbox extraction.
- Remote call placement.
- USSD-based call forwarding.
Toàn bộ hoạt động này diễn ra trong nền, không tạo dấu hiệu hiển thị rõ ràng trên thiết bị nhiễm. Trong một kịch bản remote code execution ở cấp ứng dụng di động, mục tiêu thực tế là chiếm quyền điều khiển phiên giao dịch và luồng xác thực tài khoản.
IOC liên quan đến KYCShadow
- Domain: jsonapi[.]biz
- Domain: jsonserv[.]biz
- Domain: jsonserv[.]xyz
- Package/payload: com.am5maw3.android
Biện pháp kiểm tra và giảm thiểu
Người dùng không nên cài ứng dụng nhận qua WhatsApp, SMS hoặc các kênh nhắn tin, đặc biệt là ứng dụng tự nhận phục vụ cập nhật KYC hay xác minh ngân hàng. Ứng dụng ngân hàng cần được tải từ nguồn chính thức, đồng thời giữ vô hiệu hóa quyền Install Unknown Apps.
Không nhập thông tin đăng nhập, mã PIN hay dữ liệu thẻ vào các giao diện chưa được xác minh. Nếu xuất hiện yêu cầu VPN bất thường, quyền truy cập lạ hoặc hoạt động SMS không giải thích được, cần báo ngay cho ngân hàng liên quan để xử lý an toàn thông tin.
Ở cấp tổ chức, đội bảo mật nên chặn lưu lượng đến các miền jsonapi[.]biz, jsonserv[.]biz và jsonserv[.]xyz ở tầng mạng. Việc triển khai giải pháp mobile threat defense giúp phát hiện hành vi dropper nhiều giai đoạn, lạm dụng quyền bất thường và payload ẩn trên thiết bị.
Tham khảo thêm nguồn gốc phân tích tại Cyfirma Research.
