PreCrime Labs tại BforeAI đã phát hiện một chiến dịch tấn công mạng phức tạp sử dụng mạng lưới rộng lớn gồm 607 tên miền giả mạo để phát tán các tệp ứng dụng Telegram Messenger (APK) giả mạo trong vòng một tháng qua. Các tên miền này, chủ yếu được đăng ký thông qua nhà đăng ký Gname và lưu trữ nội dung bằng tiếng Trung, là một phần của chiến dịch lừa đảo và phát tán mã độc quy mô lớn nhằm đánh lừa người dùng cài đặt phần mềm độc hại.
Cơ chế Phát tán và Lừa đảo
Chiến dịch khai thác các mã QR trên các trang web giả mạo này, chuyển hướng nạn nhân đến một tên miền trung tâm là zifeiji[.]asia. Tên miền này được thiết kế để mô phỏng các thuộc tính chính thức của Telegram, bao gồm biểu tượng yêu thích (favicons), giao diện (themes) và liên kết tải xuống APK trực tiếp. Việc chuyển hướng tập trung này đảm bảo việc phân phối mã độc hiệu quả, với các tệp APK có kích thước khoảng 60MB và 70MB. Các trang lừa đảo được thiết kế với giao diện giống blog, nổi bật với các tiêu đề tiếng Trung được tối ưu hóa cho công cụ tìm kiếm (SEO) như “Paper Plane Official Website Entrance Paper Plane Official Website Paper Plane Official Website Download | Paper Plane Official Website Entrance | Paper Plane Official Website Chinese Version | Paper Plane Official Website Login”. Những tiêu đề này được tạo ra một cách khéo léo để tăng khả năng hiển thị và độ tin cậy, đồng thời mạo danh Telegram.
Các hàm băm (hashes) MD5 và SHA-1 tương ứng của các tệp APK độc hại được xác định như sau:
- MD5:
acff2bf000f2a53f7f02def2f105c196 - MD5:
efddc2dddc849517a06b89095b344647 - SHA-1:
9650ae4f4cb81602700bafe81d96e8951aeb6aa5 - SHA-1:
6f643666728ee9bc1c48b497f84f5c4d252fe1bc
Phân tích Kỹ thuật APK độc hại
Về mặt kỹ thuật, các APK độc hại được ký bằng lược đồ chữ ký v1 đã lỗi thời. Điều này khiến chúng dễ bị tấn công bởi lỗ hổng Janus trên các phiên bản Android từ 5.0 đến 8.0. Lỗ hổng Janus (CVE-2017-13156) cho phép kẻ tấn công thêm các byte độc hại vào cuối một tệp APK mà không làm mất hiệu lực chữ ký của nó. Khi hệ thống Android phân tích tệp APK này, nó có thể bỏ qua phần bổ sung độc hại, trong khi phần bổ sung này lại được hiểu là một tệp .zip hợp lệ chứa mã độc.
Theo báo cáo liên quan, lỗ hổng này cho phép kẻ tấn công đóng gói lại các ứng dụng hợp pháp với các sửa đổi độc hại nhưng vẫn giữ nguyên chữ ký gốc. Điều này giúp chúng vượt qua các kiểm tra bảo mật của hệ thống Android, cho phép cài đặt ứng dụng độc hại một cách không bị phát hiện trên các thiết bị dễ bị tổn thương. Nguy cơ chính là người dùng có thể tải xuống một ứng dụng có vẻ ngoài hợp pháp nhưng thực chất đã bị chèn mã độc, qua đó cấp quyền truy cập không mong muốn vào thiết bị của họ.
Hành vi và Quyền hạn của Malware
Các APK sử dụng các giao thức truyền tải dữ liệu không mã hóa (cleartext traffic protocols) như HTTP, FTP và DownloadManager. Việc sử dụng các giao thức này bỏ qua các tiêu chuẩn truyền tải an toàn, khiến dữ liệu dễ bị đánh chặn hoặc theo dõi. Ngoài ra, mã độc còn yêu cầu các quyền truy cập rộng rãi trên thiết bị, bao gồm READ_EXTERNAL_STORAGE và WRITE_EXTERNAL_STORAGE. Các quyền này cho phép mã độc đọc và ghi dữ liệu vào bộ nhớ ngoài của thiết bị, qua đó phơi bày dữ liệu nhạy cảm của người dùng trước nguy cơ khai thác.
Hơn nữa, mã độc còn tích hợp các lời gọi MediaPlayer và các callback dựa trên socket để thực thi lệnh từ xa theo thời gian thực. Điều này tạo điều kiện cho các hoạt động nguy hiểm như đánh cắp dữ liệu (data exfiltration), giám sát thiết bị và kiểm soát trái phép. Khả năng thực thi lệnh từ xa cho phép kẻ tấn công tải xuống các thành phần độc hại bổ sung, thay đổi cấu hình hệ thống, hoặc thậm chí cài đặt các ứng dụng khác mà không cần sự đồng ý của người dùng. Các socket-based callbacks cung cấp một kênh liên lạc ổn định và linh hoạt giữa mã độc và máy chủ điều khiển của kẻ tấn công, đảm bảo khả năng kiểm soát liên tục và bí mật.
Mạng lưới Hạ tầng Độc hại và Cơ chế Theo dõi
Các tên miền cấp cao nhất (TLDs) phổ biến được sử dụng trong chiến dịch này bao gồm .com (316 trường hợp), .top (87), .xyz (59), .online (31) và .site (24). Kẻ tấn công thường kết hợp kỹ thuật typosquatting bằng cách sử dụng các tên miền sai chính tả hoặc biến thể như “teleqram”, “telegramapp”, “telegramdl” và “apktelegram” để lừa người dùng không cảnh giác.
Một phát hiện quan trọng là sự hiện diện của một tệp JavaScript tại https://telegramt.net/static/js/ajs.js?v=3. Tệp này đóng vai trò như một cơ chế theo dõi, phát hiện loại thiết bị (Android, iOS hoặc PC), thu thập dữ liệu trình duyệt và tên miền, sau đó chuyển tiếp thông tin này đến một máy chủ bên ngoài tại dszb77[.]com để phân tích. Mã trong tệp JavaScript này còn có các đoạn mã bị chú thích (commented-out code) gợi ý về việc hiển thị các biểu ngữ nổi (floating banners) quảng cáo tải xuống ứng dụng, đặc biệt nhắm mục tiêu vào các thiết bị Android.
Nguy cơ Chiếm quyền Firebase và Cơ chế Duy trì
Một quan sát đáng chú ý liên quan đến cơ sở dữ liệu Firebase tại https://tmessages2.firebaseio.com. Cơ sở dữ liệu này dường như đã bị hủy kích hoạt hoặc bị bỏ rơi. Tình trạng này tạo ra một cơ hội cho kẻ tấn công để đăng ký một dự án Firebase mới dưới cùng tên và chiếm quyền kết nối từ các ứng dụng cũ (legacy apps) vẫn đang cố gắng kết nối đến địa chỉ này. Cơ chế duy trì tiềm năng này đảm bảo sự tồn tại lâu dài của chiến dịch, ngay cả khi không có sự tham gia tích cực từ những kẻ tấn công ban đầu. Nó cho phép kẻ tấn công thiết lập một kênh điều khiển mới cho các ứng dụng đã bị nhiễm trước đó hoặc tiếp tục phát tán mã độc thông qua các liên kết đã cũ nhưng vẫn được tham chiếu.
Các Chỉ số Nhận dạng Nguy hiểm (IOCs)
Các chỉ số nhận dạng nguy hiểm liên quan đến chiến dịch này bao gồm:
- Tên miền độc hại:
zifeiji[.]asiatelegramt.netdszb77[.]com- Các biến thể typosquatting như
teleqram[.]*,telegramapp[.]*,telegramdl[.]*,apktelegram[.]* - 607 tên miền giả mạo khác (chi tiết cụ thể cần tham khảo báo cáo gốc của BforeAI)
- Đường dẫn file JavaScript:
https://telegramt.net/static/js/ajs.js?v=3
- Địa chỉ Firebase:
https://tmessages2.firebaseio.com(tiềm ẩn nguy cơ hijacking)
- MD5 Hashes của APK:
acff2bf000f2a53f7f02def2f105c196efddc2dddc849517a06b89095b344647
- SHA-1 Hashes của APK:
9650ae4f4cb81602700bafe81d96e8951aeb6aa56f643666728ee9bc1c48b497f84f5c4d252fe1bc
Biện pháp Phòng ngừa và Đối phó
Để chống lại các mối đe dọa như vậy, các tổ chức và người dùng nên thực hiện các biện pháp phòng ngừa và đối phó sau:
- Giám sát tên miền liên tục: Triển khai các hệ thống giám sát tự động liên tục để phát hiện các tên miền độc hại mới hoặc các tên miền có dấu hiệu typosquatting.
- Đối chiếu thông tin tình báo mối đe dọa: Thường xuyên đối chiếu các tệp APK, URL và hàm băm được phát hiện với nhiều nguồn cấp dữ liệu tình báo mối đe dọa khác nhau để xác định các chỉ số thỏa hiệp (IOCs) đã biết.
- Hạn chế tải xuống từ nguồn không xác định: Chỉ tải ứng dụng từ các cửa hàng ứng dụng chính thức và đáng tin cậy (như Google Play Store) và tránh tải xuống các tệp APK từ các nguồn không xác định hoặc không xác minh được. Kích hoạt tính năng “Không rõ nguồn gốc” (Unknown Sources) trên thiết bị Android để ngăn chặn cài đặt ứng dụng từ bên ngoài các cửa hàng chính thức.
- Thực hiện gỡ bỏ tên miền (takedown) hoặc đưa vào danh sách đen: Yêu cầu các nhà đăng ký tên miền và nhà cung cấp dịch vụ lưu trữ gỡ bỏ các tên miền độc hại, hoặc thêm chúng vào danh sách đen (blacklist) ở cấp độ mạng để ngăn chặn truy cập.
- Cập nhật hệ điều hành và ứng dụng: Đảm bảo hệ điều hành Android và tất cả các ứng dụng luôn được cập nhật lên phiên bản mới nhất để vá các lỗ hổng bảo mật đã biết, bao gồm lỗ hổng Janus và các vấn đề liên quan đến việc xử lý chữ ký ứng dụng.
- Sử dụng phần mềm bảo mật: Cài đặt và duy trì các giải pháp bảo mật di động (như phần mềm chống virus/malware) có khả năng phát hiện và chặn các ứng dụng độc hại.
Chiến dịch này nhấn mạnh sự phát triển không ngừng của các chiến thuật phân phối mã độc di động, khi kẻ tấn công kết hợp lừa đảo tinh vi với các kỹ thuật khai thác nâng cao để xâm phạm thiết bị người dùng trên toàn cầu.
