Các nhà nghiên cứu tại zLabs đã liên tục theo dõi DoubleTrouble banking trojan, một biến thể mã độc phát triển nhanh chóng, đã thay đổi chiến thuật để khai thác người dùng không nghi ngờ trên khắp châu Âu. Ban đầu, trojan này được phát tán qua các trang web lừa đảo mạo danh các ngân hàng uy tín. Tuy nhiên, DoubleTrouble banking trojan hiện đã thích nghi với các phương pháp phân phối tinh vi hơn, bao gồm các trang web giả mạo lưu trữ mẫu trực tiếp trong các kênh Discord.
Sự thay đổi này không chỉ mở rộng phạm vi tiếp cận của mã độc mà còn tăng cường khả năng né tránh phát hiện. zLabs đã thu thập 25 mẫu từ các biến thể trước đây và 9 mẫu từ chiến dịch hiện tại, bao gồm cả droppers và payloads.
Sự Phát Triển và Phân Phối của Mã độc ngân hàng DoubleTrouble
Sức mạnh cốt lõi của mã độc này nằm ở việc lạm dụng Dịch vụ Trợ năng (Accessibility Services) của Android. Nó sử dụng cơ chế cài đặt dựa trên phiên (session-based installation) để vượt qua các hạn chế về quyền.
Bằng cách che giấu payload của nó trong thư mục Resources/raw của ứng dụng và mạo danh thành một tiện ích mở rộng hợp pháp với biểu tượng Google Play, DoubleTrouble đánh lừa người dùng cấp quyền truy cập. Điều này cho phép mã độc thực hiện các hoạt động ngầm như đánh cắp dữ liệu và kiểm soát thiết bị.
Phân tích tĩnh càng trở nên phức tạp hơn bởi các kỹ thuật che dấu (obfuscation) sử dụng tên vô nghĩa hai từ cho các phương thức và lớp. Điều này biến công việc đảo ngược kỹ thuật (reverse engineering) trở thành một thách thức lớn đối với việc phân tích DoubleTrouble banking trojan.
Các Tính Năng Nâng Cao của Biến Thể DoubleTrouble Mới Nhất
Phiên bản mới nhất của DoubleTrouble banking trojan giới thiệu một bộ tính năng được cải tiến, nâng cao mức độ đe dọa. Các tính năng này tập trung vào việc trích xuất dữ liệu toàn diện và thao túng người dùng.
Khai Thác Thông Tin Đăng Nhập và Dữ liệu Tài Chính
Tận dụng các thư viện mã nguồn mở như PatternLockView và PinLockView, mã độc triển khai các màn hình khóa giả mạo. Mục đích là để chiếm đoạt mã PIN, hình mẫu hoặc mật khẩu. Những thông tin này được lưu trữ trong SharedPreferences trước khi truyền đến máy chủ chỉ huy và kiểm soát (C2).
Chức năng ghi màn hình của nó khai thác các API MediaProjection và VirtualDisplay của Android để tạo một màn hình phản chiếu. Nó thu thập các khung hình thông qua ImageReader, chuyển đổi chúng thành các tệp JPEG được mã hóa base64 trong các payload JSON. Payload này được bổ sung metadata như kích thước màn hình.
Điều này cho phép kẻ tấn công có được khả năng hiển thị theo thời gian thực đối với các hoạt động nhạy cảm, bao gồm nhập OTP, tương tác ví tiền điện tử và sử dụng ứng dụng ngân hàng. Chức năng này giúp DoubleTrouble banking trojan vô hiệu hóa xác thực đa yếu tố.
Ngoài ra, DoubleTrouble theo dõi các ứng dụng chạy nền trước (foreground applications) để chặn các ứng dụng mục tiêu như ứng dụng ngân hàng hoặc bảo mật. Nó thực hiện điều này bằng cách phủ lên các màn hình “Thông báo Bảo trì Hệ thống” gây hiểu lầm, có khả năng chuẩn bị thiết bị cho các cuộc tấn công overlay tiếp theo.
Theo Dõi Hoạt Động Người Dùng và Hệ Thống
Một tính năng keylogger tiên tiến theo dõi các lần gõ phím thông qua các sự kiện TYPE_VIEW_TEXT_CHANGED và TYPE_VIEW_TEXT_SELECTION_CHANGED. Dữ liệu được ghi vào các tệp như heart_beat.xml. Đồng thời, nó duy trì các bản ghi về các ứng dụng đã khởi chạy và cài đặt trong launched_apps.xml và sent_apps.xml. Đây là một phương thức tinh vi để thực hiện tấn công mạng di động.
Danh Sách Lệnh C2 của DoubleTrouble
Bộ lệnh được điều khiển bởi C2 của DoubleTrouble banking trojan nhấn mạnh tính linh hoạt của nó, cho phép kẻ tấn công thực hiện nhiều hành động khác nhau. Các lệnh này cung cấp khả năng kiểm soát sâu rộng đối với thiết bị bị nhiễm:
- Thao tác cử chỉ:
click,swipe_path(mô phỏng cử chỉ chạm) - Quản lý chụp màn hình:
start_graphical,stop_graphical - Chèn HTML overlay:
html_injection,custom_html - Can thiệp ứng dụng:
block_app,unblock_app - Thông báo giả mạo:
push_notification(hiển thị cảnh báo lừa đảo để mở URL hoặc ứng dụng) - Cơ chế chống phân tích:
start_anti,stop_anti(quét các yếu tố UI để tìm mối đe dọa) - Overlay làm che khuất hoạt động:
enable_black_on(màn hình đen hoàn toàn),enable_update_on(cập nhật giả mạo) - Thu thập thông tin xác thực: Các overlay truyền thống hiển thị các biểu mẫu “Xác minh tài khoản” giả mạo trên các ứng dụng như Play Store. Thông tin xác thực được thu thập và lưu vào bộ đệm cục bộ trước khi trích xuất.
- Thao tác thiết bị:
home,back,recent,lock,mute - Truy xuất dữ liệu:
get_screen_locks,get_events,get_screen_size
Theo báo cáo từ Zimperium, các tiện ích khác bao gồm lệnh thao tác thiết bị và truy xuất dữ liệu, đảm bảo kiểm soát liên tục. Bạn có thể tham khảo thêm chi tiết về cơ chế hoạt động của mã độc này tại Zimperium Blog.
Rủi Ro và Biện Pháp Phòng Ngừa Đối với Bảo mật Android
Sự tinh vi của DoubleTrouble banking trojan đặt ra những rủi ro đáng kể cho người dùng Android. Điều này nhấn mạnh sự cần thiết phải cảnh giác cao độ đối với các cuộc tấn công lừa đảo (phishing) và các quyền truy cập ứng dụng trái phép.
Khi các mối đe dọa như DoubleTrouble tiếp tục phát triển, các chuyên gia bảo mật kêu gọi người dùng cập nhật hệ điều hành và ứng dụng thường xuyên. Đồng thời, cần tương tác cẩn thận với các liên kết không được yêu cầu hoặc nội dung được lưu trữ trên Discord để giảm thiểu nguy cơ đánh cắp thông tin đăng nhập và gian lận tài chính.
