Một chiến dịch mã độc Android tinh vi có tên NexusRoute đang tích cực nhắm mục tiêu vào các công dân Việt Nam bằng cách mạo danh các dịch vụ chính phủ. Hoạt động này sử dụng các phiên bản giả mạo của các ứng dụng chính thức như mParivahan và e-Challan để thu thập thông tin đăng nhập và dữ liệu tài chính từ những người dùng không cảnh giác.
Cuộc tấn công phối hợp này kết hợp các trang web lừa đảo trực tuyến (phishing), giao diện thanh toán giả mạo và mã độc Android tiên tiến để thực hiện một hoạt động đánh cắp đa giai đoạn, làm lộ dữ liệu cá nhân và ngân hàng trên quy mô lớn.
Tổng Quan về Chiến Dịch Mã Độc NexusRoute
Mục Tiêu và Phương Thức Hoạt Động
Chiến dịch NexusRoute được thiết kế để đánh lừa người dùng cài đặt các ứng dụng Android giả mạo. Các ứng dụng này mạo danh dịch vụ công, ví dụ như các ứng dụng liên quan đến giao thông và thanh toán điện tử.
Mục tiêu chính là thu thập các thông tin nhạy cảm bao gồm thông tin đăng nhập, chi tiết ngân hàng và dữ liệu cá nhân khác. Các nạn nhân thường là công dân sử dụng các dịch vụ công trực tuyến.
Mạng Lưới Phân Phối Mã Độc
Chiến dịch này hoạt động thông qua một mạng lưới phân phối được lên kế hoạch kỹ lưỡng, được lưu trữ trên nền tảng GitHub. Hàng trăm kho lưu trữ ứng dụng giả mạo được tạo ra để cung cấp các gói Android độc hại cho các nạn nhân tiềm năng.
Các đối tượng đe dọa tạo ra các bản sao thuyết phục của các cổng thông tin chính phủ và sử dụng các tên miền lừa đảo trực tuyến (phishing domains) bắt chước các dịch vụ hợp pháp.
Kỹ Thuật Khai Thác và Tấn Công Hệ Thống
Cơ Chế Dropper và Yêu Cầu Quyền Hạn
Cuộc tấn công bắt đầu khi nạn nhân truy cập các trang tải xuống mParivahan giả mạo được lưu trữ trên các nền tảng GitHub Pages. Những trang lừa đảo này hiển thị thương hiệu và logo chính phủ thuyết phục, hướng dẫn người dùng kích hoạt cài đặt từ các nguồn không xác định trên thiết bị Android của họ.
Payload ban đầu hoạt động như một dropper, yêu cầu các quyền mà các ứng dụng chính phủ hợp pháp sẽ không bao giờ hỏi. Các quyền này bao gồm đọc SMS, dịch vụ trợ năng (accessibility services), tạo cửa sổ lớp phủ (overlay window) và truy cập tệp hoàn chỉnh.
Khi được cấp, các khả năng này cho phép kiểm soát thiết bị một cách toàn diện. Đây là một bước quan trọng trong việc chiếm quyền điều khiển thiết bị người dùng.
Kiến Trúc Tải Mã Độc Đa Giai Đoạn
Mã độc sử dụng một hệ thống tải đa giai đoạn tinh vi được thiết kế để vượt qua các hệ thống phát hiện và làm phức tạp quá trình đảo ngược kỹ thuật. Khi cài đặt, ứng dụng dropper ngay lập tức tải một thư viện gốc có tên npdcc thông qua Java Native Interface (JNI).
Cách tiếp cận này di chuyển logic độc hại quan trọng vào mã đã biên dịch, làm cho việc phân tích tĩnh trở nên khó khăn hơn đáng kể đối với các nhà nghiên cứu bảo mật. Mã độc cũng sử dụng DexClassLoader để tải động các gói Android bổ sung được lưu trữ bên ngoài trên thiết bị.
Kỹ thuật này cho phép kẻ tấn công triển khai các payload cập nhật mà không yêu cầu người dùng thực hiện các bước cài đặt bổ sung, duy trì tính linh hoạt trong chiến dịch.
Cơ Chế Duy Trì Quyền Truy Cập (Persistence)
Các Kỹ Thuật Duy Trì Hoạt Động
Tính bền bỉ là khía cạnh kỹ thuật mạnh nhất của chiến dịch này. mã độc Android sử dụng nhiều phương pháp dành riêng cho Android để duy trì thực thi liên tục trên các thiết bị bị nhiễm:
- Lạm dụng chức năng BroadcastReceiver để tự động kích hoạt khi hệ thống khởi động.
- Tạo các dịch vụ nền trước (foreground services) ngụy trang thành các công cụ sao lưu hoặc bảo mật hợp pháp.
- Khai thác các cơ chế tự khởi động dành riêng cho OEM trên các thiết bị Xiaomi và OPPO.
Thủ Đoạn Lừa Đảo Quyền Hạn
Mã độc hiển thị các thông báo bảo mật giả mạo bắt chước các cập nhật của Google Play, lừa người dùng chấp thuận các quyền mà họ thường từ chối. Khi các đặc quyền của dịch vụ trợ năng được cấp, mã độc sẽ tự động phê duyệt tất cả các quyền thời gian chạy còn lại.
Các quyền này bao gồm truy cập camera, micro và tệp, mà không cần bất kỳ tương tác nào khác từ người dùng. Đây là một điểm cực kỳ nguy hiểm, dẫn đến rò rỉ dữ liệu cá nhân nghiêm trọng.
Ứng dụng sau đó hiển thị một cảnh báo bảo mật sai, tuyên bố rằng một ứng dụng không được hỗ trợ đã được phát hiện. Nó hướng dẫn người dùng thông qua một quy trình gỡ cài đặt giả mạo chỉ loại bỏ dropper trong khi vẫn giữ payload chính ẩn và hoạt động.
Chiến lược duy trì toàn diện này đảm bảo mã độc vẫn hoạt động ngay cả sau nhiều lần khởi động lại thiết bị và sống sót qua các nỗ lực gỡ bỏ tiêu chuẩn của người dùng.
Thu Thập Dữ Liệu và Giám Sát
Kênh Giao Tiếp và Dữ Liệu Bị Đánh Cắp
Các thông tin đăng nhập bị đánh cắp được truyền đến máy chủ chỉ huy và kiểm soát (C2) của kẻ tấn công thông qua các kênh giao tiếp Socket.IO. Mã độc truyền các định danh thiết bị, chi tiết tài khoản ngân hàng, mã PIN UPI và tin nhắn SMS chứa mật khẩu một lần (OTP) đến các bảng điều khiển giám sát tập trung.
Với bộ dữ liệu hoàn chỉnh này, kẻ tấn công thực hiện các giao dịch trái phép và bán thông tin bị xâm phạm cho các mạng lưới tội phạm. Việc này gây ra nguy cơ rò rỉ dữ liệu nhạy cảm và thiệt hại tài chính đáng kể.
Khả Năng Giám Sát Toàn Diện
Nghiên cứu tình báo công khai đã tiết lộ các giao diện bảng điều khiển bị lưu trữ, phơi bày các tính năng theo dõi GPS, kích hoạt micro và chụp màn hình từ xa. Điều này xác nhận hoạt động của NexusRoute mở rộng ra ngoài việc đánh cắp tài chính, bao gồm cả giám sát di động toàn diện.
Các nhà phân tích từ Cyfirma đã xác định mã độc Android này sau khi quan sát mối liên hệ của nó với một hệ sinh thái che giấu và giám sát Android thương mại rộng lớn hơn.
Nhóm nghiên cứu đã truy vết hoạt động này đến một cơ sở hạ tầng được duy trì chuyên nghiệp, thay vì chỉ là các hoạt động lừa đảo cơ hội đơn giản. Bằng chứng liên kết mã độc với các cộng đồng nhà phát triển chuyên về các công cụ bảo vệ Android và kỹ thuật sửa đổi ứng dụng.
Điều này khẳng định đây là một hoạt động lừa đảo và giám sát quy mô lớn được hỗ trợ bởi chuyên môn kỹ thuật và công cụ thương mại.
