Phòng thí nghiệm chống virus của Doctor Web đã phát hiện một loại mã độc Android backdoor tinh vi, được định danh là Android.Backdoor.916.origin. Mã độc này đã phát triển liên tục kể từ khi được phát hiện lần đầu vào tháng 1 năm 2025. Đây là một phần mềm gián điệp đa chức năng, chủ yếu nhắm mục tiêu vào các đại diện doanh nghiệp Nga thông qua các cuộc tấn công có chủ đích, không phải phân tán hàng loạt.
Tổng Quan về Android.Backdoor.916.origin và Mục Tiêu Tấn Công
Android.Backdoor.916.origin được thiết kế để thực hiện các hoạt động gián điệp mạng sâu rộng. Nó đại diện cho một mối đe dọa nghiêm trọng đối với các tổ chức và cá nhân có hồ sơ cao.
Mục tiêu và Phương thức Phát tán Mã độc Android
Những kẻ tấn công phân tán tệp APK độc hại này qua tin nhắn riêng tư trên các ứng dụng nhắn tin phổ biến. Chúng ngụy trang mã độc dưới dạng một ứng dụng chống virus hợp pháp có tên “GuardCB”.
Biểu tượng ứng dụng bắt chước logo của Ngân hàng Trung ương Liên bang Nga được đặt trên một chiếc khiên. Giao diện người dùng hoàn toàn bằng tiếng Nga, củng cố mục tiêu vào người dùng nói tiếng Nga.
Các biến thể khác cũng đã xuất hiện với tên gọi “SECURITY_FSB” và “FSB”. Chúng giả mạo các công cụ bảo mật liên kết với các cơ quan thực thi pháp luật Nga. Những chiến thuật lừa đảo này lợi dụng lòng tin của người dùng vào các tổ chức chính thức để thúc đẩy việc cài đặt.
Cơ Chế Hoạt Động và Khai thác Quyền của Mã độc Android
Sau khi được thực thi, Android.Backdoor.916.origin mô phỏng quá trình quét chống virus để duy trì vỏ bọc. Nó tự động xác định xác suất “phát hiện mối đe dọa” tăng dần theo thời gian lên đến 30%.
Mã độc cũng tạo ra từ 1 đến 3 mối đe dọa giả mạo ngẫu nhiên. Tuy nhiên, nó không sở hữu bất kỳ khả năng bảo vệ thực sự nào.
Yêu cầu Quyền truy cập Nâng cao
Ngay trong lần khởi chạy đầu tiên, mã độc yêu cầu hàng loạt quyền truy cập hệ thống rộng rãi. Các quyền này cho phép nó thực hiện nhiều hoạt động giám sát và đánh cắp dữ liệu:
- Truy cập vị trí địa lý.
- Ghi âm.
- Đọc/gửi SMS.
- Truy cập danh bạ và nhật ký cuộc gọi.
- Truy cập tệp phương tiện.
- Theo dõi cuộc gọi đi.
- Sử dụng chức năng camera cho ảnh và video.
- Hoạt động trong nền.
- Quyền quản trị thiết bị.
- Dịch vụ Trợ năng (Accessibility Service).
Những quyền này biến mã độc Android thành một công cụ mạnh mẽ cho các hoạt động gián điệp mạng.
Tính Năng Giám Sát và Chiếm đoạt Dữ liệu
Kiến trúc của backdoor bao gồm nhiều dịch vụ tự duy trì. Các dịch vụ này tự kích hoạt khi cài đặt và được giám sát mỗi phút để đảm bảo tính bền bỉ.
Nó thiết lập kết nối với các máy chủ command-and-control (C2), nhận chỉ thị qua các cổng riêng biệt để truyền dữ liệu theo phân đoạn. Các lệnh chính bao gồm:
- Gửi tin nhắn SMS đến và đi, danh sách liên hệ, lịch sử cuộc gọi và dữ liệu vị trí địa lý đến máy chủ C2.
- Bắt đầu hoặc chấm dứt luồng âm thanh từ microphone, video từ camera hoặc phát sóng màn hình.
- Tải lên tất cả hình ảnh từ bộ nhớ thiết bị hoặc các tệp cụ thể theo tên hoặc dải.
- Bật/tắt các cơ chế tự bảo vệ.
- Thực thi các lệnh shell tùy ý.
- Truyền tải thông tin chi tiết về mạng và giao diện thiết bị.
Kỹ Thuật Nâng Cao và Duy Trì Ẩn Nấp của Mã độc Android
Khai thác Dịch vụ Trợ năng (Accessibility Service)
Bằng cách tận dụng Dịch vụ Trợ năng, Android.Backdoor.916.origin triển khai chức năng keylogger. Điều này cho phép nó chặn các lần gõ phím, bao gồm cả các dữ liệu nhạy cảm như mật khẩu.
Đồng thời, mã độc này giám sát các ứng dụng mục tiêu để đánh cắp nội dung, bao gồm:
- Telegram
- Google Chrome
- Gmail
- Yandex Start
- Yandex Browser
Dịch vụ này cũng củng cố khả năng chống gỡ bỏ của mã độc Android khi được ra lệnh, làm phức tạp các nỗ lực loại bỏ.
Cơ chế Bền bỉ và Giao tiếp C2
Cấu hình của mã độc hỗ trợ tích hợp với tối đa 15 nhà cung cấp dịch vụ hosting để dự phòng máy chủ C2. Mặc dù vậy, tính năng này vẫn chưa được kích hoạt trong các mẫu quan sát được.
Phản Ứng và Khuyến Nghị Bảo Mật
Đánh giá của Doctor Web và Giải pháp Đối phó
Doctor Web đã chủ động thông báo cho các nhà đăng ký tên miền về những hành vi lạm dụng liên quan để phá vỡ cơ sở hạ tầng của mã độc Android này.
Các chuyên gia tại Doctor Web đánh giá rằng Android.Backdoor.916.origin được tối ưu hóa cho các cuộc tấn công chính xác nhắm vào các giám đốc điều hành doanh nghiệp. Điều này cho phép kẻ tấn công thực hiện giám sát toàn diện, đánh cắp dữ liệu độc quyền, và có thể tạo điều kiện cho các cuộc xâm nhập sâu hơn như triển khai ransomware hoặc di chuyển ngang trong mạng công ty.
Tất cả các biến thể đã biết đều được các giải pháp chống virus Dr.Web dành cho Android phát hiện và vô hiệu hóa hiệu quả, giảm thiểu rủi ro cho người dùng được bảo vệ.
Khuyến Nghị Bảo Mật cho Tổ chức
Các tổ chức được khuyến nghị thực hiện các chính sách nghiêm ngặt về cài đặt ứng dụng (APK sideloading). Cần xác minh tính xác thực của ứng dụng thông qua chữ ký số và sử dụng các công cụ phân tích hành vi để chống lại các mối đe dọa lừa đảo như mã độc Android này.
Các nhóm tình báo mối đe dọa theo dõi các hoạt động tấn công mạng tập trung vào Nga nên thường xuyên theo dõi các chỉ số xâm nhập (IoCs) do Doctor Web cung cấp. Việc tăng cường an ninh mạng là điều tối quan trọng để bảo vệ dữ liệu và hệ thống.
