Các nhà nghiên cứu bảo mật tại Doctor Web đã phát hiện một backdoor Android tinh vi, được ngụy trang dưới dạng ứng dụng Telegram X, cho phép tin tặc giành quyền kiểm soát hoàn toàn tài khoản và thiết bị của nạn nhân. Mã độc này, được định danh là Android.Backdoor.Baohuo.1.origin, đã lây nhiễm hơn 58.000 thiết bị trên toàn thế giới, với khoảng 20.000 trường hợp nhiễm độc vẫn đang được theo dõi tích cực.
Tổng quan về Backdoor Android.Baohuo.1.origin
Mã độc này đại diện cho một sự leo thang đáng kể về khả năng của malware di động. Nó giới thiệu các cơ chế điều khiển chưa từng có thông qua việc tích hợp cơ sở dữ liệu Redis, một kỹ thuật chưa từng được ghi nhận trước đây trong các mối đe dọa trên hệ điều hành Android.
Phương thức lây nhiễm và phạm vi ảnh hưởng
Android.Backdoor.Baohuo.1.origin chủ yếu lây lan qua các trang web độc hại được ngụy trang thành các danh mục ứng dụng giả mạo. Tại đây, người dùng bị lôi kéo bởi các quảng cáo sai sự thật, hứa hẹn các tính năng hẹn hò và gọi video hấp dẫn.
Các nạn nhân thường bắt gặp những banner lừa đảo này trong các ứng dụng di động hợp pháp. Khi nhấp vào, họ sẽ bị chuyển hướng đến các trang web giả mạo, bắt chước các cửa hàng ứng dụng chính thức.
Những trang web độc hại này thường hiển thị các lời chứng thực giả mạo từ những người dùng được cho là hài lòng, bàn luận về việc dễ dàng tìm đối tác và các tính năng giao tiếp tiện lợi, đi kèm với các ảnh chụp màn hình giả mạo của giao diện gọi video.
Phân tích của Doctor Web cho thấy tin tặc đã nhắm mục tiêu cụ thể vào thị trường Brazil và Indonesia. Các mẫu template độc hại chỉ có sẵn bằng tiếng Bồ Đào Nha và tiếng Indonesia. Tuy nhiên, các nhà nghiên cứu cảnh báo rằng những kẻ tấn công có thể mở rộng mục tiêu sang các quốc gia khác trong tương lai.
Ước tính khoảng 3.000 mẫu điện thoại thông minh, máy tính bảng, TV box và thậm chí cả ô tô với hệ thống máy tính tích hợp dựa trên Android đã bị lây nhiễm.
Đặc điểm nhận dạng trên cửa hàng ứng dụng
Các phiên bản Telegram X bị xâm nhập cũng xuất hiện trên các cửa hàng ứng dụng bên thứ ba như APKPure, ApkSum, và AndroidP. Chúng được phân phối gian lận dưới danh tính nhà phát triển Telegram chính thức. Tuy nhiên, các phiên bản này có chữ ký số khác biệt so với các phiên bản hợp pháp, đây là một điểm nhận biết quan trọng.
Kỹ thuật điều khiển tài khoản và ẩn dấu vết
Điểm khác biệt của Android.Backdoor.Baohuo.1.origin so với các loại malware Android thông thường là mức độ thao túng tài khoản đặc biệt cao. Ngoài việc đánh cắp thông tin đăng nhập, lịch sử trò chuyện và dữ liệu cá nhân, backdoor này còn có thể che giấu bằng chứng xâm nhập một cách tinh vi.
Khả năng thao túng tài khoản Telegram
Mã độc có thể tự động thêm và xóa người dùng khỏi các kênh Telegram, cũng như tham gia các cuộc trò chuyện thay mặt nạn nhân. Tất cả những hành động này đều được thực hiện mà không để lại dấu vết rõ ràng, bằng cách ẩn các kết nối thiết bị trái phép khỏi danh sách phiên hoạt động của nạn nhân.
Điều này cho phép kẻ tấn công duy trì quyền kiểm soát trong thời gian dài mà không bị người dùng phát hiện. Khả năng ẩn dấu vết này làm cho việc phát hiện xâm nhập trở nên cực kỳ khó khăn đối với người dùng thông thường.
Các biến thể triển khai mã độc
Backdoor Android này hoạt động thông qua ba biến thể sửa đổi riêng biệt. Các biến thể này bao gồm từ việc nhúng trực tiếp vào tệp thực thi chính của ứng dụng nhắn tin cho đến việc tải động thông qua công cụ tiêm LSPatch. Bất kể phương pháp triển khai nào, ứng dụng nhắn tin độc hại vẫn hoạt động đầy đủ chức năng.
Tính năng này rất quan trọng vì nó ngăn chặn sự nghi ngờ từ phía người dùng, đồng thời cho phép kẻ tấn công kiểm soát hoàn toàn các chức năng nhắn tin. Sự đa dạng trong phương thức triển khai cho thấy mức độ tinh vi của các tác nhân đe dọa.
Kiến trúc Command and Control (C2) Đột phá
Kiến trúc Command and Control (C2) của mã độc này giới thiệu một kỹ thuật đột phá trong bối cảnh các mối đe dọa Android. Đây là một điểm nhấn kỹ thuật quan trọng của mối đe dọa mạng này.
Ứng dụng Redis trong cơ chế C2
Trong khi các biến thể trước đây dựa vào các máy chủ C2 truyền thống, các phiên bản hiện tại lại tận dụng cơ sở hạ tầng cơ sở dữ liệu Redis để truyền lệnh. Đây là một phương pháp chưa từng có trong malware di động. Việc sử dụng Redis mang lại nhiều lợi thế về tốc độ và khả năng mở rộng.
Redis, một kho dữ liệu cấu trúc key-value trong bộ nhớ, thường được sử dụng cho caching và queueing trong các ứng dụng hợp pháp. Việc lạm dụng Redis cho mục đích C2 cho thấy sự sáng tạo của tin tặc trong việc né tránh các biện pháp phát hiện truyền thống.
Chi tiết về kỹ thuật này có thể được tìm thấy trong báo cáo của Doctor Web. Người dùng quan tâm có thể tham khảo tại Doctor Web Security Research để hiểu rõ hơn.
Cơ chế dự phòng và khả năng phục hồi
Hệ thống C2 này cung cấp một cơ chế dự phòng hoạt động kép. Nếu kết nối Redis bị lỗi, mã độc sẽ tự động quay trở lại giao tiếp với máy chủ C2 tiêu chuẩn. Điều này đảm bảo khả năng phục hồi và duy trì kiểm soát của kẻ tấn công ngay cả khi một kênh bị gián đoạn.
Cơ chế này giúp mã độc duy trì hoạt động liên tục, làm tăng độ bền vững của chiến dịch tấn công. Nó thể hiện một sự phát triển đáng chú ý trong cách thức các mối đe dọa di động quản lý việc điều khiển từ xa.
Thu thập dữ liệu và rò rỉ dữ liệu nhạy cảm
Backdoor Android.Baohuo.1.origin không ngừng trích xuất các luồng dữ liệu liên tục từ thiết bị bị nhiễm. Các thông tin này bao gồm tin nhắn SMS, danh bạ và nội dung clipboard. Mỗi ba phút, mã độc tải lên các quyền thiết bị, trạng thái màn hình và thông tin xác thực Telegram tới máy chủ của kẻ tấn công.
Dữ liệu bị đánh cắp
- Tin nhắn SMS: Cho phép kẻ tấn công đọc và có thể sử dụng cho các cuộc tấn công lừa đảo hoặc xác minh hai yếu tố.
- Danh bạ: Cung cấp một nguồn dữ liệu lớn để mở rộng các cuộc tấn công.
- Quyền thiết bị: Giúp kẻ tấn công hiểu rõ hơn về khả năng kiểm soát thiết bị.
- Trạng thái màn hình: Có thể được sử dụng để theo dõi hoạt động của người dùng.
- Thông tin xác thực Telegram: Dẫn đến việc chiếm quyền tài khoản hoàn toàn.
Nguy cơ từ việc giám sát Clipboard
Đặc biệt đáng báo động là khả năng chặn nội dung clipboard. Tính năng này thu thập thông tin nhạy cảm khi người dùng thu nhỏ ứng dụng nhắn tin. Điều này có nguy cơ làm lộ các khóa ví tiền điện tử, mật khẩu và các tài liệu bí mật được sao chép cho các mục đích hợp pháp.
Việc sao chép các thông tin nhạy cảm vào clipboard là một thói quen phổ biến. Khả năng giám sát clipboard của mã độc này biến nó thành một lỗ hổng nghiêm trọng, tiềm ẩn nguy cơ rò rỉ dữ liệu nhạy cảm và thiệt hại tài chính đáng kể.
Phạm vi địa lý và cảnh báo về an ninh mạng toàn cầu
Dữ liệu đo lường từ Doctor Web chỉ ra khoảng 3.000 thiết bị Android khác nhau đã bị xâm nhập. Các thiết bị này bao gồm điện thoại thông minh, máy tính bảng, TV box và thậm chí cả các phương tiện có hệ điều hành Android.
Mặc dù Brazil và Indonesia đại diện cho các vector lây nhiễm chính, sự phân bố toàn cầu của mã độc này cho thấy tầm vươn rộng của mối đe dọa. Điều này cũng nhấn mạnh cơ sở hạ tầng tinh vi đang hỗ trợ sự phát triển liên tục của malware. Các chuyên gia an ninh mạng cần đặc biệt chú ý đến những biến thể mới này.
Các tổ chức và người dùng cá nhân cần hết sức cảnh giác. Luôn kiểm tra nguồn gốc của ứng dụng trước khi cài đặt và chỉ tải xuống từ các cửa hàng ứng dụng chính thức. Việc cập nhật hệ điều hành và các ứng dụng bảo mật cũng là các biện pháp phòng ngừa cần thiết để bảo vệ khỏi backdoor Android tinh vi như Android.Backdoor.Baohuo.1.origin.
