Một mối đe dọa nguy hiểm nhắm vào người dùng Android đang tiếp tục lan truyền qua Google Play Store, ẩn mình trong các ứng dụng tưởng chừng vô hại như trình đọc tài liệu. Ứng dụng độc hại này đã được tải xuống hơn 100.000 lượt, đặt hàng loạt người dùng Android vào rủi ro nghiêm trọng về mất mát tài chính và dữ liệu cá nhân. Đây là một ví dụ điển hình về lỗ hổng CVE trong các kênh phân phối ứng dụng chính thức.
Phân tích mối đe dọa Anatsa (TeaBot)
Mã độc đang xét là Anatsa, còn được biết đến với tên gọi TeaBot, lần đầu tiên xuất hiện vào năm 2020. Kể từ khi ra mắt, nó đã liên tục phát triển, trở thành một trong những mối đe dọa ngân hàng Android tinh vi nhất được phát hiện trong thực tế. Mục tiêu chính của Anatsa là đánh cắp thông tin đăng nhập ngân hàng, ghi lại thao tác bàn phím và thực hiện các giao dịch gian lận mà nạn nhân không hề hay biết.
Mở rộng phạm vi nhắm mục tiêu
Biến thể mới nhất của Anatsa đã mở rộng phạm vi nhắm mục tiêu, nhắm vào hơn 831 tổ chức tài chính trên toàn cầu. Điều này bao gồm các ứng dụng ngân hàng, nền tảng đầu tư và dịch vụ tiền điện tử. Khả năng nhắm mục tiêu rộng rãi này cho thấy mức độ nguy hiểm và tính thích ứng của mã độc.
Phương thức hoạt động tinh vi
Các nhà nghiên cứu bảo mật đã xác định ứng dụng độc hại này là một dropper, được ngụy trang dưới dạng công cụ quản lý tệp và trình đọc tài liệu. Ứng dụng này hoạt động theo một kịch bản quen thuộc: nó trông hoàn toàn vô hại khi mới cài đặt, sau đó âm thầm tải xuống payload Anatsa thực sự từ một máy chủ từ xa. Phương pháp này giúp nó vượt qua các quy trình kiểm tra bảo mật của Google.
Khả năng né tránh phát hiện
Điều làm cho chiến dịch này trở nên đặc biệt nổi bật là khả năng duy trì vỏ bọc hoàn hảo của ứng dụng. Nếu mã độc phát hiện mình đang chạy trong môi trường phân tích hoặc không thể kết nối với máy chủ điều khiển và chỉ huy (C2), nó sẽ hiển thị giao diện quản lý tệp hoạt động bình thường cho người dùng. Không có dấu hiệu rõ ràng nào cho thấy hoạt động độc hại, khiến việc phát hiện sớm trở nên cực kỳ khó khăn.
Quy trình lây nhiễm và chiếm quyền
Sau khi payload được cài đặt và kích hoạt hoàn toàn, Anatsa yêu cầu người dùng cấp quyền truy cập (accessibility permissions). Nếu được cấp, mã độc sẽ âm thầm kích hoạt một loạt quyền bổ sung. Bao gồm khả năng đọc và nhận tin nhắn SMS, hiển thị cảnh báo hệ thống và chạy ở chế độ toàn màn hình. Những quyền này cung cấp cho Anatsa quyền truy cập cần thiết để giám sát mọi hoạt động của người dùng trên thiết bị một cách im lặng.
Ngụy trang và tải payload
Ứng dụng được liệt kê trên Play Store với tên gói com.westhorizont.appsforge.filehorizon_explorereaddocuments, tự giới thiệu là một công cụ quản lý tệp và đọc tài liệu hợp pháp. Sau khi tải xuống, trình cài đặt kết nối với một máy chủ từ xa. Nếu thiết bị vượt qua các kiểm tra, nó sẽ tải xuống payload Anatsa banking trojan đầy đủ, được ngụy trang dưới dạng một bản cập nhật ứng dụng thông thường.
Kỹ thuật tránh bị phân tích tĩnh
Để tăng cường khả năng né tránh, trình cài đặt sử dụng kỹ thuật giải mã chuỗi thời gian chạy (runtime string decryption) được cung cấp bởi khóa DES được tạo động. Payload được ẩn bên trong một kho lưu trữ ZIP bị hỏng với các cờ nén và mã hóa không hợp lệ, gây ra lỗi cho hầu hết các công cụ phân tích tĩnh. Tên gói và hash cài đặt cũng được xoay vòng định kỳ để tránh bị các hệ thống bảo mật theo dõi các định danh đã biết gắn cờ.
Cơ chế tấn công đánh cắp thông tin
Khi Anatsa hoạt động hoàn toàn trên thiết bị, nó bắt đầu theo dõi người dùng mở bất kỳ ứng dụng ngân hàng hoặc tài chính nào. Khi phát hiện một ứng dụng như vậy, nó sẽ hiển thị một màn hình đăng nhập giả mạo, phản chiếu ứng dụng thật, đánh lừa người dùng nhập thông tin đăng nhập của họ trực tiếp vào mã độc. Các trang giả mạo này được tải xuống mới nhất từ máy chủ C2 và được tùy chỉnh cho từng ứng dụng tài chính có trên thiết bị.
Ghi log và mã hóa giao tiếp
Trojan cũng chạy một trình ghi nhật ký bàn phím tích hợp sẵn (keylogger) để ghi lại mọi thứ người dùng nhập. Nó mã hóa tất cả các giao tiếp với máy chủ C2 bằng khóa XOR một byte để giữ cho lưu lượng truy cập của nó được ẩn khỏi các công cụ giám sát mạng. Đây là một trong những kỹ thuật cốt lõi để đảm bảo sự tồn tại và hoạt động hiệu quả của mã độc.
Các biện pháp phòng ngừa
Để đảm bảo an toàn, người dùng Android nên xem xét kỹ lưỡng các quyền mà bất kỳ ứng dụng nào yêu cầu trước khi cấp chúng. Nếu một ứng dụng đọc tài liệu yêu cầu quyền truy cập vào tin nhắn SMS hoặc cài đặt trợ năng, đó là một dấu hiệu cảnh báo rõ ràng. Ngoài ra, nên ưu tiên sử dụng các ứng dụng từ các nhà phát triển đã được xác minh, đọc các đánh giá gần đây của người dùng trước khi cài đặt và luôn bật Google Play Protect trên thiết bị.
Chỉ số thỏa hiệp (IoCs)
Các chỉ số thỏa hiệp (IoCs) được cung cấp giúp các chuyên gia bảo mật có thể xác định và theo dõi các hoạt động liên quan đến Anatsa. Lưu ý rằng địa chỉ IP và tên miền được cung cấp có chủ đích làm giảm khả năng phân giải hoặc liên kết trực tiếp để tránh việc vô tình kích hoạt. Chúng chỉ nên được sử dụng trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- Anatsa installer MD5 hash:
f72b1a333fa28b133df6476561142d6a - Payload URL:
http://66.206.6[.]6:8080/disclaimer.txt
Việc theo dõi và phân tích các mối đe dọa mạng như Anatsa là cần thiết để nâng cao khả năng phòng thủ và bảo vệ người dùng khỏi các cuộc tấn công ngày càng tinh vi.
Nguồn đáng tin cậy cung cấp thêm chi tiết về chiến dịch này.
