GodFather, một Trojan ngân hàng Android tinh vi, đã thể hiện sự tiến hóa đáng kể trong phương thức tấn công bằng cách triển khai kỹ thuật ảo hóa trên thiết bị (on-device virtualization). Phương pháp này cho phép phần mềm độc hại chiếm quyền kiểm soát các ứng dụng ngân hàng di động và tiền điện tử hợp pháp, biến thiết bị của nạn nhân thành một công cụ gián điệp tinh vi.
Mặc dù GodFather ban đầu tập trung vào các tổ chức tài chính Thổ Nhĩ Kỳ, phạm vi tấn công của nó đã mở rộng ra toàn cầu, nhắm mục tiêu vào gần 500 ứng dụng khác nhau. Thay vì sử dụng các kỹ thuật tấn công lớp phủ truyền thống để đánh cắp thông tin xác thực, GodFather thực thi các ứng dụng tài chính thực sự bên trong một môi trường sandbox ẩn, cho phép kiểm soát hoàn toàn và giám sát mọi tương tác của người dùng.
Chi tiết Kỹ thuật
Kỹ thuật ảo hóa trên thiết bị
Cơ chế hoạt động của GodFather dựa trên một ứng dụng máy chủ (dropper) được cài đặt ẩn trên thiết bị. Ứng dụng này có nhiệm vụ tải xuống và chạy các bản sao thực của các ứng dụng ngân hàng hoặc tiền điện tử mục tiêu trong môi trường ảo hóa biệt lập (sandbox) của riêng nó. Đây là một sự khác biệt lớn so với các cuộc tấn công lớp phủ (overlay attacks) cũ hơn, vốn chỉ đặt một giao diện giả mạo lên trên ứng dụng gốc.
Khi người dùng cố gắng mở ứng dụng hợp pháp của họ, GodFather sẽ chặn hành động này và thay vào đó, mở phiên bản ứng dụng được ảo hóa. Điều này tạo ra một trải nghiệm người dùng gần như không thể phân biệt được với việc sử dụng ứng dụng gốc, khiến nạn nhân không hề nghi ngờ. Trong khi người dùng tương tác với những gì họ tin là ứng dụng thật, GodFather âm thầm theo dõi mọi thao tác: từ các cú chạm, gõ phím cho đến mọi thông tin nhập liệu. Điều này cho phép kẻ tấn công thu thập dữ liệu nhạy cảm trong thời gian thực mà không gây ra bất kỳ dấu hiệu cảnh báo nào cho người dùng.
Khả năng và Tính năng nâng cao
Khả năng của GodFather vượt xa việc chỉ đánh cắp thông tin xác thực cơ bản. Phần mềm độc hại này được thiết kế để thu thập các loại dữ liệu nhạy cảm khác nhau, bao gồm:
- Tên người dùng và mật khẩu tài khoản ngân hàng hoặc tiền điện tử.
- Mã PIN của thiết bị.
- Thông tin xác thực màn hình khóa, bất kể phương thức mở khóa (mẫu hình, mã PIN, mật khẩu).
Đáng chú ý, GodFather có khả năng vượt qua các cơ chế kiểm tra bảo mật, bao gồm cả những cơ chế được thiết kế để phát hiện các thiết bị đã root. Điều này cho thấy mức độ tinh vi trong việc ẩn mình và duy trì quyền kiểm soát trong môi trường bị tấn công.
Lạm dụng Quyền hạn và Đặc quyền
Để đạt được mức độ kiểm soát sâu rộng như vậy, GodFather khai thác một số lỗ hổng và cơ chế được Android cung cấp, vốn được thiết kế cho các mục đích hợp pháp:
- Lạm dụng dịch vụ trợ năng Android (Android accessibility services): Các dịch vụ này được thiết kế để hỗ trợ người dùng khuyết tật tương tác với thiết bị. Tuy nhiên, chúng thường bị phần mềm độc hại lạm dụng để leo thang đặc quyền, đọc nội dung trên màn hình, mô phỏng các tương tác của người dùng hoặc thậm chí cấp quyền mà không cần sự đồng ý rõ ràng từ người dùng. GodFather sử dụng dịch vụ này để đạt được các quyền cao hơn, vượt quá giới hạn thông thường của một ứng dụng.
- Lạm dụng quyền OEM (Original Equipment Manufacturer) và khai thác lỗ hổng trong các ứng dụng hệ thống được cài đặt sẵn: Một số thiết bị Android đi kèm với các ứng dụng hệ thống được cài đặt sẵn bởi nhà sản xuất (OEM). Những ứng dụng này thường có các quyền đặc biệt và không thể bị gỡ bỏ bởi người dùng. GodFather tìm cách khai thác các lỗ hổng hoặc lạm dụng các quyền của những ứng dụng này để duy trì sự bền bỉ và mở rộng phạm vi tấn công của mình trên thiết bị.
Tái sử dụng các Công cụ mã nguồn mở
GodFather tăng cường khả năng của mình bằng cách tích hợp và tái sử dụng các công cụ mã nguồn mở phổ biến trong cộng đồng phát triển Android. Hai công cụ chính được xác định là:
- VirtualApp: Một framework cho phép tạo ra các không gian ứng dụng ảo, nơi các ứng dụng khác có thể chạy mà không cần cài đặt chúng trực tiếp vào hệ thống chính. GodFather tận dụng VirtualApp để tạo môi trường sandbox nơi các ứng dụng ngân hàng mục tiêu được thực thi.
- XposedBridge: Một framework cho phép sửa đổi hành vi của ứng dụng và hệ thống Android mà không cần sửa đổi các tệp APK gốc. XposedBridge cung cấp khả năng hook (can thiệp) vào các phương thức (methods) và chức năng (functions) của ứng dụng trong thời gian chạy, điều này rất quan trọng đối với GodFather để chặn các hành động của người dùng và giám sát đầu vào trong môi trường ảo hóa.
Việc tái sử dụng các công cụ mã nguồn mở này giúp GodFather tiết kiệm thời gian phát triển, tận dụng các tính năng đã được kiểm chứng và có thể giúp phần mềm độc hại lẩn tránh một số cơ chế phát hiện dựa trên chữ ký, vì các thành phần này tự thân không phải là độc hại.
Phạm vi và Các Nền tảng Mục tiêu
Như đã đề cập, GodFather có phạm vi tấn công rộng lớn, nhắm mục tiêu vào gần 500 ứng dụng di động trên toàn thế giới. Mặc dù có sự tập trung đáng kể vào khoảng một tá ứng dụng của các tổ chức tài chính Thổ Nhĩ Kỳ, điều này cho thấy khả năng thích ứng và mở rộng của phần mềm độc hại để bao gồm nhiều ngân hàng và dịch vụ tài chính khác nhau trên quy mô toàn cầu.
Kỹ thuật, Chiến thuật và Thủ tục (TTPs) theo MITRE ATT&CK
Dựa trên các thông tin kỹ thuật về GodFather, có thể suy ra một số kỹ thuật theo khuôn khổ MITRE ATT&CK, phản ánh cách thức hoạt động của phần mềm độc hại trong chuỗi tấn công của nó. Mặc dù các mã ID cụ thể không được nêu rõ trong các báo cáo gốc, nhưng chúng ta có thể ánh xạ các hành vi được mô tả vào các kỹ thuật ATT&CK phù hợp:
| Mô tả Kỹ thuật | Mã ID MITRE ATT&CK có thể | Giải thích trong ngữ cảnh GodFather |
|---|---|---|
| Lạm dụng Tính năng Trợ năng để Leo thang Đặc quyền | T1548.002 | GodFather khai thác các dịch vụ trợ năng của Android, vốn được cấp quyền đặc biệt, để thực hiện các hành động vượt quá giới hạn của một ứng dụng thông thường, như cấp quyền hoặc kiểm soát giao diện người dùng. |
| Đánh cắp Thông tin Xác thực thông qua Thu thập Đầu vào (Keylogging) | T1056.001 | Bằng cách kiểm soát môi trường ảo hóa và giám sát tương tác người dùng, GodFather có thể ghi lại mọi thông tin nhập liệu, bao gồm tên người dùng, mật khẩu, mã PIN và các thông tin xác thực khác. |
| Chiếm quyền Thực thi Lớp Ứng dụng thông qua Ảo hóa/Sandboxing | Có thể T1609 hoặc kỹ thuật tùy chỉnh | Đây là kỹ thuật cốt lõi của GodFather. Thay vì tấn công hệ thống hoặc ứng dụng trực tiếp, GodFather tạo ra một môi trường ảo hóa để “bắt cóc” quá trình thực thi của ứng dụng hợp pháp. Kỹ thuật T1609 (Container Administration Command) có thể liên quan nếu xem môi trường ảo hóa như một dạng container, nhưng bản chất là chiếm quyền kiểm soát luồng ứng dụng ở lớp cao hơn. |
| Sử dụng Công cụ Mã nguồn mở để Né tránh | Có thể T1218.x (System Binary Proxy Execution) hoặc liên quan đến T1078 (Valid Accounts) | Việc tận dụng VirtualApp và XposedBridge không chỉ giúp phần mềm độc hại hoạt động mà còn có thể giúp nó né tránh các cơ chế phát hiện. Các công cụ này bản thân không phải là độc hại, do đó việc sử dụng chúng có thể làm phức tạp quá trình phân tích và phát hiện. |
Sự kết hợp của các kỹ thuật này cho phép GodFather thực hiện một cuộc tấn công đa diện, từ việc thiết lập quyền kiểm soát ban đầu đến việc duy trì sự hiện diện và đánh cắp dữ liệu một cách tinh vi.
