Trong bối cảnh các mối đe dọa di động ngày càng tinh vi, sự xuất hiện của các botnet Android như AntiDot đánh dấu một bước tiến đáng lo ngại. AntiDot không chỉ là một phần mềm độc hại đơn thuần mà còn là một dịch vụ (Malware-as-a-Service – MaaS) được cung cấp bởi tác nhân LARVA-398 trên các diễn đàn ngầm, ví dụ như XSS. Nó được quảng bá là một công cụ “3 trong 1” tích hợp khả năng nạp (loader), đóng gói (packer) và cơ sở hạ tầng botnet vào một gói duy nhất. Sự kết hợp này mang lại cho kẻ tấn công quyền kiểm soát rộng rãi trên các thiết bị bị nhiễm, bao gồm khả năng ghi lại màn hình thông qua việc lạm dụng các dịch vụ trợ năng của Android, chặn tin nhắn SMS, đánh cắp thông tin đăng nhập qua các cuộc tấn công chồng lấp (overlay attacks), giám sát và chuyển hướng cuộc gọi, cũng như chèn mã độc vào các WebView.
Chi tiết kỹ thuật về AntiDot
Lập trình và Che giấu Mã
AntiDot được phát triển bằng ngôn ngữ Java, một lựa chọn phổ biến cho các ứng dụng và phần mềm độc hại trên nền tảng Android do tính linh hoạt và khả năng tương thích của nó. Để né tránh sự phát hiện của các giải pháp bảo mật, mã nguồn của AntiDot được che giấu rất kỹ lưỡng thông qua việc sử dụng một trình đóng gói thương mại. Việc sử dụng các trình đóng gói chuyên nghiệp giúp thay đổi cấu trúc của mã độc, làm cho việc phân tích tĩnh trở nên khó khăn hơn đối với các công cụ chống vi-rút truyền thống. Thay vì chứa toàn bộ mã độc ngay từ đầu, AntiDot sử dụng phương pháp tải động các đoạn mã độc hại từ các tệp được mã hóa trong quá trình cài đặt hoặc thực thi.
Quá trình triển khai của AntiDot là một chuỗi đa giai đoạn, tối thiểu gồm ba bước chính, được thiết kế để lừa dối người dùng và vượt qua các cơ chế bảo mật:
- Giai đoạn 1: APK ban đầu: Thường có tên là
Update.apk, tệp cài đặt ban đầu này được ngụy trang thành một bản cập nhật hợp pháp. Nó hiển thị thanh tiến trình giả mạo để tạo ấn tượng về một quá trình cập nhật đang diễn ra, đồng thời lừa người dùng cấp các quyền truy cập cần thiết, đặc biệt là quyền dịch vụ trợ năng (Accessibility Service permissions). - Giai đoạn 2: Tải động các lớp bị thiếu: Mã độc không chứa tất cả các lớp (classes) cần thiết ngay trong APK ban đầu. Thay vào đó, nó tải động các lớp này từ các payload đã được mã hóa trong thời gian chạy. Kỹ thuật này được MITRE ATT&CK xác định là T1407: Obfuscated Files or Information (Che giấu Tệp hoặc Thông tin), giúp mã độc tránh bị phát hiện bởi các công cụ phân tích tĩnh ban đầu.
- Giai đoạn 3: Giải nén và tải tệp DEX: Sau khi người dùng cấp quyền, AntiDot sẽ giải nén và tải các tệp DEX (Dalvik Executable) chứa các chức năng botnet cốt lõi. Đây là giai đoạn mà các khả năng độc hại thực sự của botnet được kích hoạt và đưa vào hoạt động.
Cơ sở hạ tầng Command-and-Control (C2)
Quy mô hoạt động của AntiDot là đáng kể, với ít nhất 11 máy chủ C2 đang hoạt động. Các máy chủ này quản lý hơn 3.775 thiết bị bị nhiễm trên khoảng 273 chiến dịch khác nhau. Số lượng lớn các thiết bị và chiến dịch cho thấy AntiDot không chỉ là một mối đe dọa cục bộ mà là một hoạt động có quy mô toàn cầu, gây ảnh hưởng đến hàng nghìn người dùng Android.
Phân phối và Nhắm mục tiêu
Việc phân phối AntiDot được điều chỉnh theo ngôn ngữ và khu vực địa lý cụ thể của nạn nhân. Các phương thức phân phối chính bao gồm mạng lưới quảng cáo độc hại và các chiến dịch lừa đảo (phishing campaigns). Kẻ tấn công sử dụng các kỹ thuật xã hội tinh vi để lừa người dùng tải xuống và cài đặt mã độc. Điều này bao gồm việc tạo ra các trang web giả mạo, email hoặc tin nhắn chứa liên kết độc hại, hoặc tích hợp mã độc vào các quảng cáo trực tuyến hợp pháp.
Các khả năng của AntiDot
Khi đã lây nhiễm và giành được quyền kiểm soát, AntiDot có một loạt các khả năng độc hại, cho phép kẻ tấn công thực hiện nhiều loại hoạt động gian lận và đánh cắp dữ liệu:
- Ghi lại màn hình: Lợi dụng sự lạm dụng dịch vụ trợ năng của Android (Accessibility Service abuse), AntiDot có thể ghi lại toàn bộ nội dung hiển thị trên màn hình thiết bị. Điều này cho phép kẻ tấn công thu thập thông tin nhạy cảm như mật khẩu, tin nhắn, và các hoạt động của người dùng trên thiết bị.
- Chặn tin nhắn SMS: Bằng cách tự đặt mình làm ứng dụng SMS mặc định, AntiDot có khả năng chặn tất cả các tin nhắn SMS đến và đi. Khả năng này cực kỳ nguy hiểm, vì nó cho phép kẻ tấn công vượt qua các cơ chế xác thực hai yếu tố (2FA) dựa trên SMS và đánh cắp mã OTP (One-Time Password), từ đó thực hiện các giao dịch tài chính hoặc truy cập tài khoản nhạy cảm của nạn nhân.
- Giám sát cuộc gọi điện thoại: AntiDot có thể theo dõi các cuộc gọi điện thoại, bao gồm cả cuộc gọi đến và đi. Nguy hiểm hơn, nó có thể chặn hoặc chuyển hướng các cuộc gọi từ các số điện thoại cụ thể. Khả năng này có thể được sử dụng để can thiệp vào các dịch vụ khách hàng, lừa đảo nạn nhân hoặc ngăn chặn họ nhận được cảnh báo quan trọng từ ngân hàng hay các tổ chức tài chính.
- Tấn công chồng lấp (Overlay Attacks): Khi người dùng khởi chạy các ứng dụng mục tiêu liên quan đến tiền điện tử hoặc thanh toán, AntiDot sẽ hiển thị một màn hình đăng nhập giả mạo chồng lên giao diện ứng dụng hợp pháp. Các màn hình chồng lấp này được tải động từ máy chủ C2, giúp kẻ tấn công tùy chỉnh chúng theo ứng dụng cụ thể đang được sử dụng. Mục tiêu cuối cùng là đánh cắp thông tin đăng nhập của nạn nhân, bao gồm tên người dùng, mật khẩu và các chi tiết tài chính khác.
Kỹ thuật né tránh
Kỹ thuật né tránh chính của AntiDot là sử dụng các trình đóng gói thương mại để che giấu mã độc. Điều này giúp mã độc khó bị phát hiện bởi các công cụ phân tích tĩnh, vốn dựa trên việc quét các mẫu chữ ký hoặc cấu trúc mã độc đã biết. Bằng cách thay đổi liên tục cấu trúc bên trong và mã hóa các phần quan trọng, AntiDot có thể duy trì hoạt động trong thời gian dài mà không bị các phần mềm chống vi-rút thông thường phát hiện.
Thao túng tương tác người dùng
Quá trình lừa dối người dùng được thực hiện một cách có chủ ý thông qua các bước sau:
Initial APK shows bogus update progress bar → prompts user for Accessibility Service permissions → upon grant unpacks malicious payload → gains full control capabilitiesBan đầu, người dùng bị lừa tin rằng họ đang cài đặt một bản cập nhật hợp pháp. Thanh tiến trình giả mạo khiến họ yên tâm, sau đó ứng dụng sẽ yêu cầu quyền truy cập vào các dịch vụ trợ năng – một quyền rất mạnh trên Android. Khi người dùng cấp quyền này, mã độc sẽ giải nén và kích hoạt toàn bộ payload, từ đó giành quyền kiểm soát hoàn toàn thiết bị.
Bối cảnh hoạt động
Mặc dù AntiDot cho thấy sự tinh vi và quy mô lây nhiễm toàn cầu qua nhiều chiến dịch, nhưng theo phản hồi từ các diễn đàn như XSS, chất lượng hỗ trợ khách hàng của LARVA398 và việc thiếu các bản cập nhật tương thích với các phiên bản Android mới nhất là những điểm yếu tiềm ẩn trong hoạt động của chúng. Điều này có thể được các nhà nghiên cứu bảo mật và tổ chức phòng thủ khai thác để phát triển các biện pháp đối phó hiệu quả hơn.
Các kỹ thuật MITRE ATT&CK được xác định
AntiDot sử dụng một loạt các kỹ thuật tấn công được phân loại theo khung MITRE ATT&CK, cho phép các chuyên gia bảo mật hiểu rõ hơn về các hành vi của mã độc và xây dựng các chiến lược phòng thủ tương ứng.
| ID Kỹ thuật | Tên Kỹ thuật | Mô tả |
|---|---|---|
| T1407 | Obfuscated Files or Information | AntiDot sử dụng kỹ thuật che giấu mã nặng nề với các trình đóng gói thương mại tải động mã độc đã được mã hóa, giúp tránh phát hiện. |
| T1548 | Abuse Elevation Control Mechanism | Mã độc lạm dụng các Accessibility Services trên Android để giành quyền kiểm soát nâng cao đối với các chức năng của thiết bị. |
| T1056 | Input Capture | AntiDot có khả năng chặn tin nhắn SMS bằng cách tự đặt làm ứng dụng SMS mặc định và giám sát các cuộc gọi. |
| T1204 | User Execution | Lừa người dùng cấp quyền thông qua các yếu tố giao diện người dùng giả mạo trong bản cập nhật. |
| T1566 | Phishing | Sử dụng các chiến thuật lừa đảo trong các chiến dịch phân phối nhắm mục tiêu theo ngôn ngữ/khu vực cụ thể. |
Các chỉ số thỏa hiệp (Indicators of Compromise – IOCs)
Việc nhận diện và theo dõi các IOCs là rất quan trọng để các đội SOC và Incident Response có thể phát hiện và ngăn chặn các cuộc tấn công liên quan đến AntiDot.
Tên tệp / Tạo tác
Update.apk: Tên tệp thả ban đầu phổ biến, ngụy trang mã độc dưới dạng trình cài đặt cập nhật.
Chi tiết cơ sở hạ tầng
- Ít nhất 11 máy chủ Command-and-Control đang hoạt động.
- Quản lý hơn 3.775 thiết bị bị nhiễm trên khoảng 273 chiến dịch.
- Được phân phối trên toàn cầu với việc nhắm mục tiêu theo ngôn ngữ/khu vực thông qua các quảng cáo độc hại/mạng lưới lừa đảo.
Tóm tắt cho việc tích hợp vào SOC/TIP
AntiDot đại diện cho một mối đe dọa MaaS tiên tiến chống lại hệ sinh thái Android, nổi bật với các đặc điểm sau:
- Chuỗi lây nhiễm dựa trên Java đa giai đoạn, sử dụng tải động các lớp từ các payload được mã hóa (áp dụng kỹ thuật T1407).
- Khai thác các Accessibility Services để ghi lại màn hình và leo thang quyền kiểm soát (áp dụng kỹ thuật T1548).
- Đánh cắp thông tin đăng nhập thông qua các cuộc tấn công chồng lấp được kích hoạt khi khởi chạy các ứng dụng tài chính mục tiêu, được kiểm soát từ xa qua cơ sở hạ tầng C2 (khoảng 11 máy chủ).
- Các khả năng chặn đầy đủ bao gồm chặn/chuyển tiếp SMS và giám sát/chuyển hướng cuộc gọi, cho phép thực hiện các kế hoạch gian lận (áp dụng kỹ thuật T1056).
- Phân phối dựa trên lừa đảo/quảng cáo độc hại được tùy chỉnh theo hồ sơ khu vực/ngôn ngữ (áp dụng kỹ thuật T1566).
Các nỗ lực phát hiện nên tập trung vào việc xác định các cài đặt APK đáng ngờ có tên Update.apk, các yêu cầu bất thường về quyền Accessibility Service kết hợp với lưu lượng mạng hướng đến các miền/địa chỉ IP C2 đã biết của AntiDot.
Các đội bảo mật phải giám sát các chỉ số hành vi như thay đổi ứng dụng SMS mặc định không mong muốn hoặc các màn hình chồng lấp xuất hiện trên các ứng dụng tài chính, cùng với dữ liệu viễn trắc mạng (network telemetry) tương quan với các dấu hiệu nhận dạng cơ sở hạ tầng AntiDot đã biết. Việc kết hợp các IOCs cấp độ tệp, mạng và hành vi là chìa khóa để xây dựng một chiến lược phát hiện mạnh mẽ.
