Một chiến dịch **mã độc Android** tinh vi đã nhắm mục tiêu vào người dùng tại Ấn Độ, ngụy trang dưới dạng thông báo nộp phạt giao thông (challan) từ Văn phòng Vận tải Khu vực (RTO) hợp pháp. Các ứng dụng độc hại này được phân phối bên ngoài Google Play Store, chủ yếu qua WhatsApp và các nền tảng nhắn tin tương tự, lợi dụng sự tin tưởng của người dùng vào các dịch vụ chính phủ.
Kỹ Thuật Lừa Đảo Xã Hội và Phân Phối Mã Độc
Các tác nhân đe dọa gửi cảnh báo vi phạm giao thông giả mạo cho nạn nhân, hướng dẫn họ cài đặt ứng dụng di động “E-Challan” hoặc “RTO Challan”. Các ứng dụng này chứa **mã độc Android** được thiết kế để đánh cắp thông tin tài chính và cá nhân.
Chiến dịch này thể hiện một sự phát triển nguy hiểm trong các mối đe dọa di động. Nó tích hợp kiến trúc mô-đun ba giai đoạn, tăng cường khả năng né tránh phát hiện và duy trì sự tồn tại trên các thiết bị bị lây nhiễm. Không giống như các biến thể trước đây sử dụng các tệp APK một giai đoạn với logic được mã hóa cứng, chiến dịch hiện tại triển khai cấu hình từ xa động và các kỹ thuật chống phân tích rộng rãi.
Các nhà nghiên cứu tại Seqrite đã xác định các **kỹ thuật lừa đảo xã hội** tinh vi được kẻ tấn công sử dụng trong quá trình phân tích bảo mật của họ. Các ứng dụng độc hại này trình bày giao diện người dùng giả mạo, bắt chước các cổng thông tin chính thức của chính phủ, hoàn chỉnh với thương hiệu và logo RTO để thuyết phục người dùng về tính hợp pháp của chúng. (Nguồn: Seqrite Blog)
Kiến Trúc Kỹ Thuật và Cơ Chế Né Tránh
Mã độc tạo một đường hầm VPN tùy chỉnh để che giấu hoạt động mạng của nó. Điều này cho phép trích xuất dữ liệu bí mật đồng thời ngăn chặn các công cụ bảo mật phát hiện giao tiếp với máy chủ chỉ huy và kiểm soát (C2).
Yêu Cầu Quyền Hạn và Duy Trì Quyền Kiểm Soát
Sau khi được cài đặt, mã độc yêu cầu người dùng cấp các quyền hạn rủi ro cao. Bao gồm quyền truy cập SMS, nhật ký cuộc gọi, trình nghe thông báo và quyền truy cập bộ nhớ. Điều này cho phép giám sát toàn diện thiết bị của nạn nhân.
Mã độc thiết lập quyền kiểm soát liên tục bằng cách yêu cầu người dùng tắt cài đặt tối ưu hóa pin. Việc này cho phép ứng dụng chạy liên tục trong nền mà không bị hạn chế bởi hệ thống. Điều này đảm bảo ứng dụng độc hại có thể hoạt động không bị gián đoạn và duy trì kết nối chủ động với cơ sở hạ tầng C2 của nó.
Kỹ Thuật Ngụy Trang Dịch Vụ Nền
Mã độc triển khai kỹ thuật đánh lừa dịch vụ nền, tạo một thông báo giả mạo chạy liên tục. Trong khi đó, các hoạt động độc hại diễn ra ngầm trong nền. Điều này giúp mã độc thực hiện các tác vụ của mình mà không bị người dùng chú ý.
Quy Trình Lây Nhiễm và Hậu Quả
Quá trình lây nhiễm bắt đầu khi nạn nhân nhận được tin nhắn SMS hoặc WhatsApp chứa các URL rút gọn. Các URL này bắt chước các tên miền e-Challan hợp pháp. Các tin nhắn này tạo ra cảm giác khẩn cấp bằng cách đe dọa đình chỉ giấy phép, triệu tập tòa án hoặc các thủ tục pháp lý đối với các khoản phạt giao thông chưa thanh toán.
Khi người dùng nhấp vào liên kết và cài đặt tệp APK, **mã độc Android** sẽ khởi động chuỗi triển khai nhiều giai đoạn. Sau khi cài đặt, ứng dụng giai đoạn ba hiển thị giao diện chính phủ giả mạo, yêu cầu người dùng xác minh danh tính hoặc thanh toán khoản phạt đang chờ xử lý.
Để tiếp tục, người dùng phải cấp nhiều quyền hạn nguy hiểm, cho phép mã độc truy cập vào các chức năng nhạy cảm của thiết bị. Khi các quyền này được chấp thuận, mã độc bắt đầu thu thập thông tin nhận dạng cá nhân, thông báo ngân hàng, tin nhắn OTP và siêu dữ liệu thiết bị.
Kết quả của cuộc tấn công này là **gian lận tài chính** quy mô lớn, **đánh cắp danh tính** và thỏa hiệp hoàn toàn thiết bị. Mã độc thu hoạch các thông báo ngân hàng, tin nhắn OTP và siêu dữ liệu thiết bị, dẫn đến **rò rỉ dữ liệu** nhạy cảm nghiêm trọng.
Biện Pháp Phòng Ngừa và Giảm Thiểu
Để bảo vệ khỏi các mối đe dọa như **mã độc Android** này, người dùng cần tuân thủ các nguyên tắc bảo mật sau:
- Xác minh các khoản phạt giao thông chỉ thông qua các trang web chính thức của chính phủ, không nhấp vào các liên kết trong tin nhắn không mong muốn.
- Tránh tải xuống ứng dụng từ các nguồn bên ngoài Google Play Store.
- Không bao giờ cấp các quyền không cần thiết cho các ứng dụng yêu cầu truy cập SMS hoặc thông báo.
Các tổ chức nên triển khai các giải pháp phòng thủ mối đe dọa di động (Mobile Threat Defense – MTD) và tiến hành đào tạo nâng cao nhận thức bảo mật. Điều này giúp nhân viên nhận biết các **kỹ thuật lừa đảo xã hội** và các mối đe dọa di động khác một cách hiệu quả.
