Android malware đang chuyển sang mô hình phát tán nhiều tầng với MiningDropper, một framework được dùng để đẩy các tải trọng nguy hiểm hơn lên thiết bị dưới vỏ bọc ứng dụng hợp lệ. Chuỗi tấn công này có thể dẫn tới infostealer, remote access trojan, banking malware hoặc hoạt động cryptocurrency mining trên thiết bị bị nhiễm.
Android malware MiningDropper và mô hình phân phối nhiều giai đoạn
Nhóm nghiên cứu mô tả MiningDropper như một hệ thống phân phối nhiều giai đoạn, không phải một ứng dụng độc hại đơn lẻ. Thiết kế này cho phép thay đổi payload cuối cùng theo mục tiêu mà không cần xây dựng lại toàn bộ chuỗi phát tán.
Các chiến dịch liên quan đã được ghi nhận trên nhiều khu vực, với lưu lượng mẫu tăng đáng kể trong thời gian gần đây. Theo telemetry được nêu trong báo cáo, có hơn 1.500 mẫu xuất hiện ngoài thực địa trong một tháng và nhiều mẫu có tỷ lệ phát hiện bởi antivirus rất thấp.
Tham chiếu báo cáo kỹ thuật gốc: Cyble – MiningDropper global modular Android malware.
Phương thức phát tán và mồi nhử
Chiến dịch tiếp cận nạn nhân qua nhiều kênh: trang phishing, liên kết mạng xã hội và website giả mạo dịch vụ đáng tin cậy. Nội dung mồi nhử mô phỏng các cổng vận tải, ngân hàng, thương hiệu viễn thông và ứng dụng di động phổ biến.
Cách tiếp cận này làm tăng xác suất người dùng tải xuống tệp APK độc hại trước khi chuỗi payload ẩn bắt đầu hoạt động.
- Phishing pages
- Social media links
- Website giả mạo dịch vụ uy tín
- APK độc hại được ngụy trang thành ứng dụng bình thường
Kết cấu kỹ thuật của Android malware
Điểm khiến chiến dịch khó bị ngăn chặn là kiến trúc nhiều lớp: native code, encrypted assets, dynamic DEX loading và anti-emulation checks. Mỗi tầng chỉ mở khóa tầng tiếp theo khi điều kiện trước đó được thỏa mãn, khiến công cụ quét tĩnh khó nhìn thấy toàn bộ hành vi.
Chuỗi khởi đầu từ một phiên bản trojanized của dự án Android nguồn mở LumoLight. Các hành vi độc hại được kích hoạt qua thư viện native librequisitionerastomous.so.
Bên trong thư viện này, chuỗi ký tự được ẩn bằng XOR obfuscation và chỉ giải mã khi chạy. Cách làm này giúp mã khó phân tích hơn và giảm khả năng bị phát hiện ở giai đoạn tĩnh.
Kiểm tra môi trường chạy
Thành phần native cũng kiểm tra platform details, system architecture và device model để xác định thiết bị có đang chạy trong emulator hay môi trường rooted không.
Nếu môi trường bị đánh giá là đáng ngờ, mã độc có thể dừng hoạt động độc hại. Đây là cơ chế giúp nó né sandboxes và hệ thống phân tích tự động.
Luồng giải mã và tải payload
Khi các kiểm tra vượt qua, thư viện giải mã một asset tên x7bozjy2pg4ckfhn bằng một XOR key cố định, tạo ra payload DEX tầng đầu tiên và nạp nó bằng DexClassLoader.
Stage đầu tiên tiếp tục giải mã file tầng hai bằng AES, với key material được suy ra từ tên file. Cách xây dựng khóa này làm mờ logic giải mã và gây khó cho reverse engineering.
DexClassLoader dexClassLoader = new DexClassLoader(
dexPath,
optimizedDirectory,
librarySearchPath,
parentClassLoader
);Stage thứ hai và màn hình giả mạo
Stage thứ hai là phần người dùng dễ nhận thấy nhất vì nó có thể hiển thị màn hình cập nhật giả mạo của Google Play. Màn hình này được dùng để khiến quá trình lây nhiễm trông như thao tác hợp lệ của hệ thống.
Đằng sau giao diện đó, malware tiếp tục giải mã file, đọc cấu hình và quyết định kích hoạt nhánh miner hoặc nhánh user-defined payload để cài đặt tiếp.
Triển khai payload cuối cùng
Ở nhánh payload tùy biến, malware giải mã một gói ZIP và các thành phần tách rời, dựng lại gói hoàn chỉnh rồi cài đặt mối đe dọa có khả năng cao hơn, như BTMOB RAT, thông qua trình cài đặt stage ba.
Payload cuối có thể thực hiện nhiều hành vi xâm nhập trái phép, bao gồm:
- Đánh cắp thông tin đăng nhập qua WebView injections
- Keylogging
- Exfiltration dữ liệu
- Lạm dụng Accessibility Services
- Điều khiển thời gian thực
- Theo dõi màn hình
- Xử lý tệp
- Ghi âm
- Command execution
IOC và dấu hiệu kỹ thuật liên quan
Nội dung nguồn không cung cấp IOC dạng hash, domain, IP hay user-agent cụ thể. Các dấu hiệu kỹ thuật có thể trích xuất từ mô tả chiến dịch gồm:
- librequisitionerastomous.so – thư viện native chứa logic độc hại
- x7bozjy2pg4ckfhn – asset được giải mã để tạo DEX payload đầu tiên
- DexClassLoader – cơ chế nạp payload động
- XOR obfuscation – kỹ thuật ẩn chuỗi
- AES với key suy ra từ tên file – cơ chế giải mã stage hai
- Fake Google Play update screen – giao diện đánh lạc hướng
Ảnh hưởng hệ thống và rủi ro bảo mật
Android malware theo mô hình framework như MiningDropper làm tăng rủi ro bảo mật vì có thể thay đổi tải trọng cuối cùng theo chiến dịch. Một hạ tầng phát tán có thể chuyển từ banking theft sang espionage-style access hoặc silent mining mà không cần thay đổi toàn bộ chuỗi.
Hệ quả trên thiết bị bao gồm chiếm đoạt thông tin đăng nhập, đánh cắp dữ liệu, điều khiển từ xa và tiêu tốn tài nguyên cho hoạt động mining. Việc sử dụng lớp mã hóa, kiểm tra môi trường và tải động khiến phát hiện xâm nhập bằng công cụ thông thường khó khăn hơn.
Biện pháp giảm thiểu
Giảm rủi ro bảo mật bằng cách cài đặt ứng dụng chỉ từ kho tin cậy, tránh mở liên kết nhận qua SMS, email hoặc mạng xã hội, và kiểm tra quyền trước khi cài đặt.
Thiết bị cần được cập nhật Android thường xuyên, đồng thời nên dùng MFA cho ứng dụng ngân hàng. Nếu nghi ngờ bị xâm nhập, cần theo dõi hoạt động tài chính và báo cáo nhanh các giao dịch bất thường.
- Cài app từ trusted stores
- Tránh link từ SMS, email, social media
- Kiểm tra permissions trước khi install
- Giữ Android và ứng dụng ở trạng thái update vá lỗi
- Bật MFA cho dịch vụ tài chính
- Giám sát giao dịch bất thường để phát hiện sớm hệ thống bị xâm nhập
Góc nhìn threat intelligence về Android malware
Chiến dịch này cho thấy xu hướng Android malware chuyển sang mô hình tái sử dụng, trong đó delivery, deception và monetization được tách riêng thành từng lớp. Cấu trúc đó giúp các chiến dịch thay đổi payload và mục tiêu nhanh hơn, đồng thời làm giảm hiệu quả của phát hiện dựa trên một mẫu đơn lẻ.
Với các tổ chức vận hành hệ thống di động hoặc triển khai an ninh mạng trên Android, trọng tâm giám sát nên đặt vào hành vi nạp DEX động, giải mã asset bất thường và luồng tải xuống APK không rõ nguồn gốc.
