Hoạt Động Khai Thác Đa Chiều Từ Cụm Mã Độc Android
Các nhà nghiên cứu đã phát hiện một cụm mã độc Android đang hoạt động, kết hợp tinh vi giữa giả mạo thương hiệu và các chiến thuật kiếm tiền từ lưu lượng truy cập. Cụm mã độc này nhắm mục tiêu vào người dùng trên nhiều khu vực địa lý khác nhau, gây ra rủi ro đáng kể cho dữ liệu cá nhân và tài chính.
Kỹ Thuật Lừa Đảo Xã Hội và Phương Thức Phân Phối
Các tệp Android Package Kit (APK) độc hại này lợi dụng kỹ thuật lừa đảo xã hội và các kênh phân phối không chính thức để né tránh các biện pháp bảo mật truyền thống. Chúng khai thác lòng tin của người dùng để đánh cắp dữ liệu nhạy cảm, bao gồm thông tin đăng nhập.
Chiến dịch triển khai các tệp APK được ngụy trang dưới dạng dịch vụ hợp pháp, công cụ khuyến mãi hoặc các thương hiệu phổ biến. Nạn nhân bị dụ dỗ thông qua các tin nhắn lừa đảo (phishing messages) hoặc nội dung web lừa đảo, dẫn đến việc cài đặt ứng dụng thủ công. Quá trình này thường bắt đầu bằng việc người dùng truy cập một trang web độc hại hoặc nhấp vào một liên kết trong tin nhắn lừa đảo, sau đó được hướng dẫn tải xuống và cài đặt tệp APK từ nguồn không đáng tin cậy.
Cơ Chế Lợi Dụng Quyền Hạn và Thu Thập Dữ Liệu
Sau khi được cài đặt, các ứng dụng này lạm dụng mô hình cấp quyền tương đối “dễ dãi” của Android, cho phép chúng truy cập vào các tài nguyên nhạy cảm của thiết bị. Điều này bao gồm khả năng duy trì hoạt động ngầm (background persistence) và tạo điều kiện cho việc chiếm đoạt lưu lượng mạng để thực hiện hành vi gian lận quảng cáo (ad fraud).
Các hoạt động này bao gồm mô phỏng tương tác người dùng để tăng lượt hiển thị quảng cáo (ad impressions), chuyển hướng lưu lượng truy cập qua các kênh liên kết (affiliate funnels), hoặc tạo ra các chỉ số nhấp chuột gian lận (fraudulent click-through metrics). Song song với các hoạt động kiếm tiền này, mã độc còn thu thập dữ liệu cá nhân như danh bạ, nhật ký cuộc gọi và siêu dữ liệu thiết bị (device metadata). Việc thu thập dữ liệu này thường diễn ra một cách âm thầm, khiến người dùng khó phát hiện.
Các Loại Mã Độc và Chiến Thuật Lợi Nhuận
Các mẫu APK được phân tích cho thấy mức độ tinh vi khác nhau nhưng đều có liên quan đến cùng một cụm mối đe dọa. Chúng thường chứa các payload mô-đun (modular payloads) có khả năng điều chỉnh hành vi trong thời gian chạy (runtime behavior) dựa trên yếu tố như vị trí địa lý (locale), ngôn ngữ hoặc môi trường ảo hóa (virtualized environments).
Phân Loại Mã Độc Dựa Trên Mục Đích Khai Thác
Cụm mã độc này bao gồm nhiều loại ứng dụng khác nhau, được phân loại dựa trên mục đích khai thác:
- Ứng dụng gian lận quảng cáo (Ad Fraud Apps): Tập trung vào việc tạo ra các lượt hiển thị quảng cáo giả mạo mà không cung cấp chức năng thực tế cho người dùng.
- Phần mềm đánh cắp thông tin đăng nhập (Credential Stealers): Giả mạo các trang đăng nhập của các nền tảng tài chính hoặc mạng xã hội để âm thầm đánh cắp thông tin xác thực.
- Phần mềm thu thập dữ liệu ngầm (Background Data Harvesters): Ngụy trang dưới dạng tiện ích hoặc trò chơi để thu thập thông tin nhạy cảm với tương tác tối thiểu từ người dùng.
- Ứng dụng thưởng nhiệm vụ (Task Reward Apps): Hứa hẹn phần thưởng để người dùng xem quảng cáo hoặc cài đặt ứng dụng khác, nhưng thực chất lại nhúng các quyền truy cập quá mức và các chức năng thu thập dữ liệu ẩn.
- Ứng dụng cờ bạc (Gambling Apps): Lợi dụng các lỗ hổng pháp lý để truy cập dữ liệu cá nhân và tài chính của người dùng.
Chiến Thuật Phổ Biến và Né Tránh Phát Hiện
Các chiến thuật phổ biến được mã độc sử dụng bao gồm:
- Chuyển hướng lưu lượng truy cập: Dẫn lưu lượng người dùng qua các tên miền kiếm tiền (monetized domains).
- Phát hiện sandbox: Kiểm tra sự hiện diện của môi trường ảo hóa hoặc giả lập như Genymotion thông qua các heuristic để thay đổi hành vi hoặc trì hoãn hoạt động độc hại.
- Giao tiếp Command-and-Control (C2) được mã hóa: Sử dụng các thuật toán mã hóa như AES-ECB với khóa được hardcode để bảo vệ kênh liên lạc giữa mã độc và máy chủ điều khiển.
Phân Tích Kỹ Thuật Biến Thể Đáng Chú Ý
Một biến thể đáng chú ý của cụm mã độc này là một tệp APK giả mạo Facebook. Việc phân tích biến thể này cung cấp cái nhìn sâu sắc về các kỹ thuật mà nhóm tấn công sử dụng.
Đặc Điểm Nhận Dạng và Kênh Phân Phối
Mã băm SHA-256 của biến thể giả mạo Facebook này là:
- SHA-256:
6e47540ee83e8f0f886d24f5a948e47bdbe8cfc69b05c20e1ff2328f53d2d160
Biến thể này được phân phối thông qua các trang đích lừa đảo (phishing landing pages), ví dụ điển hình là tên miền:
- Tên miền phân phối:
fb20-11-en[.]9jtfb7jt[.]vip
Ứng dụng yêu cầu các quyền truy cập rộng rãi, bao gồm ACCESS_FINE_LOCATION, và một số quyền giả mạo (spoofed permissions) nhằm bắt chước các thành phần hợp pháp của Android hoặc các ứng dụng chính thống.
Cơ Chế Hoạt Động Sau Cài Đặt
Sau khi cài đặt thành công, mã độc sẽ tải các tệp cấu hình được mã hóa Base64 và AES từ các tên miền C2. Một ví dụ về tên miền C2 được sử dụng là:
- Tên miền C2:
fb.kodownapp[.]top
Các tệp cấu hình này sau đó được giải mã để tiết lộ các điểm cuối C2 mô-đun (modular C2 endpoints) và các kênh dự phòng (fallback channels) được ngụy trang dưới dạng API báo cáo sự cố (crash reporting APIs). Các kênh này được sử dụng để trích xuất dữ liệu từ xa (telemetry exfiltration), bao gồm các thông tin như vị trí hệ thống (system locale), định danh nền tảng (platform identifiers) và siêu dữ liệu người dùng (user metadata).
Kỹ Thuật Né Tránh và Che Giấu
Phân tích sâu hơn cho thấy mã độc sử dụng công cụ ApkSignatureKillerEx để bỏ qua quá trình xác minh chữ ký Android, cho phép nó tiêm các payload thứ cấp như origin.apk để thực thi một cách lén lút. Kỹ thuật này giúp mã độc duy trì tính ẩn danh và khó bị phát hiện bởi các hệ thống bảo mật dựa trên chữ ký.
Mã độc còn thể hiện các hành vi thích ứng để né tránh phân tích tự động. Điều này bao gồm việc thay đổi hoạt động khi phát hiện môi trường sandbox, trì hoãn việc thực thi payload, và kích hoạt chọn lọc dựa trên giá trị của thiết bị. Các hành vi này làm tăng độ khó khăn cho các nhà phân tích trong việc hiểu rõ toàn bộ chuỗi tấn công và cơ chế hoạt động của mã độc.
Phân Tích Hạ Tầng và Thông Tin Gán Ghép
Phân tích hạ tầng của cụm mã độc này đã phát hiện các tên miền phụ được phân đoạn, hỗ trợ các chiến dịch giả mạo nhiều thương hiệu khác nhau, như TikTok. Các tên miền này thường chứa các tham chiếu ẩn đến ví tiền điện tử (cryptocurrency wallets) và các chức năng liên quan đến thông tin đăng nhập, mặc dù không phải lúc nào chúng cũng hoạt động.
Một số ví dụ về tên miền phụ liên quan đến hạ tầng C2 bao gồm:
- Tên miền C2:
apk.kodownapp[.]top - Tên miền C2:
tk.kodownapp[.]top
Gán Ghép Nguồn Gốc và Động Cơ
Các dấu hiệu gán ghép cho thấy khả năng nhóm tấn công là những nhà điều hành nói tiếng Trung Quốc. Bằng chứng bao gồm sự xuất hiện của tiếng Trung giản thể trong mã nguồn và các bảng điều khiển (panels) quản lý, việc lưu trữ hạ tầng trên Alibaba Cloud, và sự phù hợp với các nền kinh tế ngầm chuyên giao dịch dữ liệu di động bị đánh cắp, bộ công cụ gian lận liên kết (affiliate fraud kits), và API nhận dạng vân tay thiết bị (device fingerprinting APIs).
Hệ sinh thái này, được mô tả trong báo cáo của Trustwave, cho phép các cuộc tấn công quy mô lớn, ít ma sát thông qua mô hình mã độc dưới dạng dịch vụ (malware-as-a-service). Sự kết hợp giữa gian lận quảng cáo và đánh cắp thông tin đăng nhập của chiến dịch này nhấn mạnh ý định kép của kẻ tấn công: vừa kiếm tiền vừa thu thập thông tin tình báo cho các cuộc khai thác trong tương lai.
Biện Pháp Phòng Ngừa và Nâng Cao Nhận Thức
Để chống lại các mối đe dọa như trên, người dùng cần thực hiện các biện pháp phòng ngừa chủ động và nâng cao nhận thức về bảo mật di động.
Trước hết, người dùng nên hạn chế cài đặt ứng dụng từ các nguồn không đáng tin cậy. Chỉ nên tải xuống và cài đặt ứng dụng từ các cửa hàng ứng dụng chính thức như Google Play Store. Hạn chế tải tệp APK trực tiếp từ các trang web hoặc liên kết không rõ nguồn gốc.
Thứ hai, cần xem xét kỹ lưỡng các tệp APK không mong muốn nhận được từ tin nhắn hoặc các chương trình khuyến mãi. Hãy luôn kiểm tra nhà phát triển, đánh giá của ứng dụng, và các quyền mà ứng dụng yêu cầu trước khi cài đặt.
Thứ ba, nâng cao nhận thức về việc lạm dụng quyền hạn là cực kỳ quan trọng. Người dùng nên xem xét cẩn thận các quyền mà ứng dụng yêu cầu trong quá trình cài đặt và sau đó. Nếu một ứng dụng yêu cầu các quyền không liên quan đến chức năng cốt lõi của nó (ví dụ: một ứng dụng đèn pin yêu cầu quyền truy cập danh bạ hoặc nhật ký cuộc gọi), đó có thể là dấu hiệu của hoạt động độc hại.
Đối với các tổ chức, việc ưu tiên khả năng hiển thị chuỗi cung ứng ứng dụng di động (mobile app supply chain visibility) là cần thiết. Điều này bao gồm việc kiểm tra tính toàn vẹn và bảo mật của các ứng dụng được sử dụng trong môi trường doanh nghiệp. Ngoài ra, việc giáo dục người dùng về các mối đe dọa di động và các thực hành bảo mật tốt nhất cũng đóng vai trò quan trọng trong việc củng cố hệ thống phòng thủ chống lại các hoạt động mã độc thích ứng và lừa đảo này.
