Nhóm nghiên cứu bảo mật di động của McAfee đã phát hiện một chiến dịch mã độc Android tinh vi. Chiến dịch này nhắm mục tiêu chính vào người dùng nói tiếng Hindi ở Ấn Độ, ngụy trang dưới dạng các ứng dụng tài chính hợp pháp từ các tổ chức như SBI Card, Axis Bank, và IndusInd Bank.
Hoạt động này phân phối các tệp APK độc hại thông qua các trang web lừa đảo (phishing) được tạo động. Các trang web này bắt chước cổng thông tin ngân hàng chính thức, tận dụng các tài nguyên thật như hình ảnh và JavaScript để tăng tính xác thực.
Tổng Quan Về Mối Đe Dọa Mạng
Điểm khác biệt của mã độc này là chức năng kép của nó. Nó không chỉ đánh cắp dữ liệu cá nhân và tài chính nhạy cảm mà còn bí mật khai thác tiền điện tử Monero. Quá trình này sử dụng công cụ mã nguồn mở XMRig, được kích hoạt từ xa thông qua Firebase Cloud Messaging (FCM).
Mã độc giả mạo bản cập nhật Google Play để lợi dụng lòng tin của người dùng. Việc cài đặt dẫn đến hành vi đánh cắp dữ liệu nghiêm trọng.
Với vai trò là thành viên của App Defense Alliance, McAfee đã báo cáo các mối đe dọa này cho Google. Điều này đã dẫn đến việc tài khoản FCM liên quan bị chặn, nhằm hạn chế sự lây lan tiếp theo.
McAfee Mobile Security phân loại tất cả các biến thể là rủi ro cao. Dữ liệu từ hệ thống đo lường từ xa (telemetry) cho thấy các ca nhiễm chủ yếu ở Ấn Độ. Tuy nhiên, các trường hợp rải rác cũng xuất hiện ở những nơi khác.
Cơ Chế Hoạt Động Của Mã Độc Android
Mã độc Android sử dụng kiến trúc dropper nhiều giai đoạn để né tránh phân tích tĩnh và phát hiện.
Khi cài đặt, tệp APK hiển thị một giao diện Google Play giả mạo. Giao diện này thúc giục người dùng thực hiện một “cập nhật”. Trong nội bộ, nó giải mã một tệp DEX đã được mã hóa từ thư mục tài sản của nó bằng khóa XOR.
Trình tải giai đoạn đầu tiên này sau đó giải mã và tải động một tải trọng (payload) giai đoạn thứ hai. Tải trọng này hiển thị dưới dạng giao diện ứng dụng tài chính giả mạo.
Người dùng được yêu cầu nhập các chi tiết như tên, số thẻ, CVV, và ngày hết hạn. Những thông tin này được truyền đến một máy chủ command-and-control (C2).
Sau khi gửi, ứng dụng hiển thị một trang xác nhận lừa đảo, mô phỏng tính hợp pháp. Các tin nhắn về xác minh email trong vòng 48 giờ được hiển thị, mặc dù tất cả các chức năng đều không hoạt động.
Chức Năng Cryptojacking Qua Firebase Cloud Messaging
Nhúng trong mã giai đoạn thứ hai là một dịch vụ nhắn tin Firebase được khai báo trong manifest. Dịch vụ này lắng nghe các lệnh từ xa để kích hoạt thành phần khai thác tiền điện tử.
Quá trình này bao gồm việc tải xuống một tệp nhị phân .so đã được mã hóa từ một trong ba URL được mã hóa cứng. Tệp này sau đó được thực thi thông qua Java’s ProcessBuilder như một tiến trình độc lập.
Các đối số được sử dụng phản ánh các tùy chọn dòng lệnh của XMRig, bao gồm thông số kỹ thuật nhóm khai thác cho Monero.
Thuật toán RandomX, được tối ưu hóa cho hiệu suất CPU, cho phép khai thác lợi nhuận trên các thiết bị di động. Các tính năng bảo mật của Monero che giấu các giao dịch, hỗ trợ tội phạm mạng rửa tiền.
Nhật ký từ tệp nhị phân đã giải mã xác nhận sự liên quan của XMRig. Điều này cho phép hoạt động nền âm thầm mà người dùng không hề hay biết.
Kỹ Thuật Né Tránh Phát Hiện và Sự Tinh Vi
Chiến dịch này phát triển dựa trên các mối đe dọa trước đó nhắm vào Ấn Độ, như đã được ghi nhận trong các báo cáo trước đây của McAfee. Tuy nhiên, nó đổi mới bằng cách tích hợp lừa đảo thời gian thực với tải trọng động và kích hoạt từ xa.
Quá trình giải mã theo giai đoạn của dropper làm phức tạp việc kỹ thuật đảo ngược. Các kích hoạt dựa trên FCM giữ cho mã độc ở trạng thái ngủ cho đến khi được ra lệnh, giảm thiểu rủi ro bị phát hiện.
Các trang web lừa đảo có nút “Get App” cung cấp tệp APK. Các trang này thường được quảng bá qua SMS, WhatsApp, hoặc mạng xã hội.
Các Chỉ Số Thỏa Hiệp (IOCs)
Dựa trên phân tích, các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) bao gồm:
- Các trang web lừa đảo (Phishing Websites): Được tạo động để giả mạo các cổng ngân hàng chính thức.
- Máy chủ Command-and-Control (C2): Được sử dụng để nhận dữ liệu đánh cắp và gửi lệnh kích hoạt khai thác tiền điện tử.
- URL tải xuống tệp nhị phân .so: Ba URL được mã hóa cứng được dùng để tải xuống thành phần khai thác XMRig. (Lưu ý: các URL cụ thể không được cung cấp trong nội dung gốc).
- Tên các ứng dụng giả mạo: Ngụy trang thành các ứng dụng của SBI Card, Axis Bank, và IndusInd Bank.
Khuyến Nghị An Toàn Thông Tin và Phòng Ngừa
Để bảo vệ hệ thống và thông tin cá nhân khỏi các cuộc tấn công mạng tương tự, người dùng nên thực hiện các biện pháp sau:
- Chỉ tải ứng dụng từ các nguồn đáng tin cậy: Luôn tải ứng dụng độc quyền từ Google Play Store chính thức. McAfee đã cung cấp phân tích chi tiết về mối đe dọa này.
- Kiểm tra kỹ lưỡng các liên kết không mong muốn: Tuyệt đối không nhấp vào các liên kết đáng ngờ nhận được qua SMS, WhatsApp hoặc mạng xã hội.
- Sử dụng giải pháp bảo mật di động mạnh mẽ: Triển khai các giải pháp bảo mật mạng di động đáng tin cậy để phát hiện và chặn các mối đe dọa như vậy.
- Nâng cao nhận thức về các cuộc tấn công lừa đảo: Luôn cảnh giác với các yêu cầu thông tin cá nhân hoặc tài chính bất thường.
Sự kết hợp giữa đánh cắp dữ liệu và cryptojacking này cho thấy sự tinh vi ngày càng tăng của mã độc. Điều này đòi hỏi người dùng phải thực hành cảnh giác và sử dụng các biện pháp phòng thủ tiên tiến để đảm bảo an toàn thông tin.
