Hoạt động mã độc Android gia tăng trong quý 2 năm 2025
Trong quý 2 năm 2025, Dr.Web Security Space for mobile devices đã ghi nhận sự gia tăng đáng kể trong hoạt động mã độc trên các thiết bị Android. Mặc dù một số loại mối đe dọa có xu hướng giảm, sự xuất hiện của các chiến dịch tấn công phức tạp và sự trỗi dậy của các trojan ngân hàng đã tạo ra một bức tranh nguy hiểm mới cho người dùng di động.
Các họ mã độc phổ biến
Các trojan adware vẫn là mối đe dọa chiếm ưu thế, đặc biệt là từ họ Android.HiddenAds. Dù số lượt người dùng gặp phải loại trojan này đã giảm 8.62%, chúng vẫn duy trì sự hiện diện rộng rãi. Android.HiddenAds thường ngụy trang dưới dạng các ứng dụng vô hại hoặc ẩn mình trong các thư mục hệ thống. Kỹ thuật này cho phép chúng xóa biểu tượng khỏi màn hình chính, làm cho người dùng khó phát hiện và gỡ bỏ. Sau khi cài đặt, chúng hiển thị quảng cáo xâm nhập một cách liên tục, gây gián đoạn trải nghiệm người dùng và tiêu hao tài nguyên thiết bị.
Theo sát Android.HiddenAds là các trojan adware Android.MobiDash, đã chứng kiến mức tăng 11.17% về tần suất tấn công. Các trojan này thường nhúng các module hiển thị quảng cáo gây phiền toái vào các ứng dụng hợp pháp hoặc giả mạo, đảm bảo quảng cáo xuất hiện thường xuyên và khó kiểm soát trên thiết bị của nạn nhân.
Xếp thứ ba là các chương trình độc hại Android.FakeApp, thường được sử dụng trong các âm mưu lừa đảo, chẳng hạn như tải các trang web sòng bạc trực tuyến. Mặc dù số lượt phát hiện các biến thể của Android.FakeApp đã giảm 25.17%, chúng vẫn là một mối lo ngại đáng kể do mục đích lừa đảo tài chính và gây hiểu lầm cho người dùng.
Gia tăng đột biến của Trojan ngân hàng
Một điểm đáng lo ngại đặc biệt trong quý này là sự gia tăng mạnh mẽ 73.15% trong hoạt động của trojan ngân hàng Android.Banker so với quý trước. Sự gia tăng này cho thấy rủi ro ngày càng tăng đối với an ninh tài chính của người dùng Android. Android.Banker được thiết kế để đánh cắp thông tin đăng nhập ngân hàng, thông tin thẻ tín dụng và dữ liệu tài chính nhạy cảm khác bằng cách tạo các lớp phủ giả mạo (overlay) trên các ứng dụng ngân hàng hợp pháp hoặc chặn tin nhắn SMS chứa mã xác thực một lần (OTP).
Tuy nhiên, các họ trojan ngân hàng khác, như Android.BankBot và Android.SpyMax, lại có sự sụt giảm lần lượt là 37.19% và 19.14%. Điều này cho thấy một sự thay đổi trong trọng tâm của các tác nhân độc hại, có thể do sự chuyển dịch sang các biến thể Android.Banker mới và hiệu quả hơn, hoặc các chiến lược phòng thủ đã được cải thiện chống lại các họ trojan cũ.
Các mối đe dọa tinh vi và chiến dịch nhắm mục tiêu
Tháng 4 đã đánh dấu sự xuất hiện của các mối đe dọa có tính phức tạp cao, nhắm mục tiêu vào các nhóm người dùng cụ thể, cho thấy sự phát triển trong chiến thuật của tội phạm mạng.
Chiến dịch đánh cắp tiền điện tử với Android.Clipper.31
Các nhà phân tích của Dr.Web đã phát hiện một chiến dịch đánh cắp tiền điện tử quy mô lớn liên quan đến Android.Clipper.31. Trojan này được nhúng trong các phiên bản WhatsApp đã được sửa đổi và được cài đặt sẵn trong phần sụn của một số điện thoại thông minh Android giá rẻ. Sau khi được cài đặt trên thiết bị, Android.Clipper.31 hoạt động theo cơ chế sau:
- Chặn và hoán đổi địa chỉ ví: Mã độc này có khả năng chặn các tin nhắn trong ứng dụng nhắn tin. Khi người dùng sao chép địa chỉ ví tiền điện tử hợp pháp (đặc biệt là ví Tron và Ethereum), Android.Clipper.31 sẽ tự động thay thế địa chỉ đó bằng một địa chỉ ví gian lận thuộc sở hữu của kẻ tấn công. Quá trình hoán đổi này được thực hiện một cách tinh vi để che giấu sự thay đổi, đánh lừa người dùng gửi tiền đến địa chỉ của kẻ gian.
- Trích xuất cụm từ ghi nhớ (Mnemonic Phrases): Ngoài việc hoán đổi địa chỉ, mã độc này còn tải các hình ảnh định dạng JPG, PNG và JPEG lên các máy chủ từ xa. Mục tiêu của việc này là để trích xuất các cụm từ ghi nhớ (seed phrases) của ví tiền điện tử của nạn nhân. Việc thu thập cụm từ ghi nhớ cho phép kẻ tấn công kiểm soát hoàn toàn ví tiền điện tử của nạn nhân, gây ra rủi ro nghiêm trọng cho những người nắm giữ tài sản số.
Chiến dịch này đặc biệt nguy hiểm do khả năng lây lan qua các kênh đáng tin cậy như ứng dụng nhắn tin phổ biến và thậm chí là phần sụn của thiết bị, khiến việc phát hiện và phòng tránh trở nên khó khăn hơn đối với người dùng thông thường.
Chiến dịch phần mềm gián điệp Android.Spy.1292.origin
Song song đó, một chiến dịch phần mềm gián điệp đã nhắm mục tiêu vào quân nhân Nga thông qua Android.Spy.1292.origin. Mã độc này được ẩn trong một ứng dụng bản đồ Alpine Quest đã bị sửa đổi và được phân phối thông qua các kênh Telegram giả mạo cũng như các danh mục ứng dụng không chính thức. Mục đích chính của trojan này là đánh cắp dữ liệu nhạy cảm từ thiết bị của nạn nhân. Các loại dữ liệu mà Android.Spy.1292.origin có khả năng trích xuất bao gồm:
- Tài khoản người dùng
- Danh bạ
- Dữ liệu định vị địa lý (geolocation)
- Các tệp tin trên thiết bị
- Đặc biệt chú trọng vào tài liệu mật và nhật ký vị trí từ các ứng dụng nhắn tin.
Việc nhắm mục tiêu cụ thể vào quân nhân và thu thập các loại dữ liệu nhạy cảm này cho thấy ý đồ chiến lược đằng sau các cuộc tấn công, có thể liên quan đến hoạt động tình báo hoặc thu thập thông tin có giá trị cao.
Mã độc trên Google Play và phần mềm không mong muốn
Sự gia tăng các mối đe dọa trên Google Play tiếp tục leo thang trong quý 2 năm 2025. Dr.Web đã phát hiện hàng chục ứng dụng độc hại, bao gồm các biến thể Android.FakeApp, ngụy trang dưới dạng công cụ tài chính và trò chơi.
- Android.FakeApp.1863: Ngụy trang thành “TPAO”, nhắm mục tiêu người dùng Thổ Nhĩ Kỳ.
- Android.FakeApp.1859: Được quảng cáo là “Quantum MindPro” dành cho khán giả nói tiếng Pháp.
Cả hai biến thể FakeApp này đều có chung mục đích là tải các trang web lừa đảo, thường là các trang đầu tư giả mạo hoặc lừa đảo tài chính, nhằm chiếm đoạt tiền hoặc thông tin cá nhân của nạn nhân.
Các trò chơi giả mạo cũng là một phương tiện phổ biến để phát tán mã độc. Ví dụ, trò chơi “Pino Bounce” (biến thể Android.FakeApp.1840) đã chuyển hướng người dùng đến các trang sòng bạc trực tuyến. Ngoài ra, các adware như Adware.Adpush.21912, ẩn trong ứng dụng “Coin News Promax”, đã hiển thị các thông báo lừa đảo dẫn người dùng đến các liên kết độc hại.
Những sự cố này nhấn mạnh thách thức dai dẳng trong việc bảo mật các cửa hàng ứng dụng chính thức, ngay cả những nền tảng được quản lý chặt chẽ như Google Play. Kẻ tấn công liên tục tìm cách lách qua các biện pháp bảo vệ để đưa mã độc đến tay người dùng cuối.
Dr.Web cũng xác định nhiều phần mềm không mong muốn khác (Unwanted Software) và công cụ rủi ro (Riskware) trên các thiết bị Android:
- Program.FakeMoney.11: Loại phần mềm này dụ dỗ người dùng bằng những lời hứa hẹn sai lầm về thu nhập dễ dàng, thường thông qua các sơ đồ đa cấp hoặc các ứng dụng “làm giàu nhanh” giả mạo, dẫn đến mất thời gian và tiền bạc của người dùng.
- Tool.SilentInstaller.14.origin: Một công cụ rủi ro có khả năng khởi chạy các tệp APK mà không cần quá trình cài đặt thông thường hoặc sự cho phép rõ ràng từ người dùng. Điều này tạo điều kiện thuận lợi cho việc cài đặt phần mềm độc hại một cách lén lút, bypass các cơ chế bảo mật của Android.
Chỉ số thỏa hiệp (IOCs)
Dưới đây là danh sách các chỉ số thỏa hiệp và tên mã độc được đề cập trong báo cáo:
- Mã độc Adware:
- Android.HiddenAds
- Android.MobiDash
- Adware.Adpush.21912 (trong “Coin News Promax”)
- Mã độc lừa đảo (FakeApp):
- Android.FakeApp
- Android.FakeApp.1863 (ngụy trang thành “TPAO”)
- Android.FakeApp.1859 (ngụy trang thành “Quantum MindPro”)
- Android.FakeApp.1840 (ngụy trang thành “Pino Bounce”)
- Trojan ngân hàng:
- Android.Banker
- Android.BankBot
- Android.SpyMax
- Trojan đánh cắp tiền điện tử:
- Android.Clipper.31
- Phần mềm gián điệp:
- Android.Spy.1292.origin
- Phần mềm không mong muốn/Công cụ rủi ro:
- Program.FakeMoney.11
- Tool.SilentInstaller.14.origin
Biện pháp phòng ngừa và khuyến nghị
Để bảo vệ thiết bị Android khỏi bối cảnh mối đe dọa đang phát triển này, các chuyên gia khuyến nghị mạnh mẽ triển khai các giải pháp chống vi-rút mạnh mẽ như Dr.Web for Android. Các giải pháp này cung cấp khả năng bảo vệ chủ động, giúp phát hiện và ngăn chặn mã độc trước khi chúng có thể gây hại cho thiết bị và dữ liệu của người dùng.
Khi tội phạm mạng liên tục hoàn thiện các chiến thuật của chúng, sự cảnh giác của người dùng và việc áp dụng các biện pháp bảo mật tiên tiến vẫn là yếu tố cực kỳ quan trọng để giảm thiểu rủi ro. Người dùng nên thận trọng khi cài đặt ứng dụng từ các nguồn không chính thức, kiểm tra kỹ các quyền mà ứng dụng yêu cầu, và luôn cập nhật hệ điều hành cũng như các ứng dụng bảo mật.
