Một họ mã độc Android mới đầy báo động, được đặt tên là Qwizzserial, đã nổi lên như một mối đe dọa đáng kể, đặc biệt nhắm mục tiêu vào người dùng tại Uzbekistan.
Tổng quan về Qwizzserial Malware
Được Group-IB phát hiện vào tháng 3 năm 2024, Qwizzserial là một loại mã độc SMS stealer được thiết kế để chặn các mã xác thực hai yếu tố (2FA) và đánh cắp thông tin ngân hàng nhạy cảm. Điều này đặt ra rủi ro nghiêm trọng đối với an ninh cá nhân và tài chính của nạn nhân.
Qwizzserial ngụy trang dưới dạng các ứng dụng hợp pháp, chẳng hạn như công cụ hỗ trợ tài chính hoặc ứng dụng ngân hàng. Mã độc này lôi kéo người dùng không nghi ngờ cài đặt các tệp APK độc hại, thường thông qua các tin nhắn và kênh lừa đảo trên Telegram.
Dữ liệu đo từ xa của Group-IB ước tính rằng mã độc này đã lây nhiễm khoảng 100.000 thiết bị thông qua khoảng 1.200 mẫu khác nhau. Phạm vi tiếp cận của Qwizzserial rất rộng và tốc độ xuất hiện hàng ngày của các mẫu mới vẫn tiếp tục tăng lên. Điều này cho thấy mức độ hoạt động và phát triển liên tục của các tác nhân đe dọa, đồng thời đặt ra thách thức lớn trong việc theo dõi và kiểm soát sự lây lan của chúng.
Chiến thuật Vận hành và Phân phối
Các chiến thuật vận hành của Qwizzserial được xây dựng dựa trên sự kết hợp sâu sắc giữa kỹ thuật xã hội và độ tinh vi về kỹ thuật. Các tác nhân đe dọa phân phối mã độc thông qua nền tảng Telegram, tận dụng khả năng tiếp cận rộng rãi và tính chất ít được kiểm soát của các nhóm và kênh. Chúng sử dụng các tên tệp hấp dẫn hoặc gây tò mò như “Are these your photos?” (Đây có phải ảnh của bạn không?) hoặc giả mạo các dịch vụ chính phủ để kích thích sự tò mò hoặc tạo ra cảm giác khẩn cấp cho người dùng, từ đó thúc đẩy họ tải xuống và cài đặt tệp APK độc hại.
Để tăng cường độ tin cậy và che giấu bản chất lừa đảo, những kẻ tấn công còn tạo ra các kênh Telegram giả mạo các thực thể chính thức. Một ví dụ điển hình là kênh “Moliyaviy Yordam” (Hỗ trợ Tài chính), được thiết kế để trông giống như một dịch vụ hỗ trợ tài chính hợp pháp. Thậm chí, chúng còn công bố các sắc lệnh tổng thống bị làm giả để khuếch đại quy mô và độ tin cậy của các vụ lừa đảo, khiến nạn nhân khó nhận biết đây là hành vi độc hại và dễ dàng bị sập bẫy hơn.
Phân tích Kỹ thuật chuyên sâu
Cơ chế Hoạt động và Thu thập Dữ liệu
Sau khi được cài đặt thành công trên thiết bị Android của nạn nhân, mã độc Qwizzserial, thường được viết bằng ngôn ngữ lập trình Kotlin, sẽ ngay lập tức yêu cầu các quyền truy cập nhạy cảm như quyền gọi điện thoại và truy cập SMS. Một điểm đáng chú ý trong hành vi của mã độc là nó liên tục hiển thị các lời nhắc yêu cầu quyền (permission prompts) cho đến khi người dùng cấp quyền. Chiến thuật này lợi dụng sự thiếu kiên nhẫn hoặc thiếu hiểu biết của người dùng, khiến họ có thể cấp quyền mà không xem xét kỹ lưỡng hậu quả.
Khi có được các quyền cần thiết, Qwizzserial bắt đầu quá trình trích xuất dữ liệu quan trọng từ thiết bị của nạn nhân. Dữ liệu này bao gồm các chi tiết nhạy cảm như thông tin thẻ ngân hàng, số điện thoại, và toàn bộ nội dung tin nhắn SMS. Việc trích xuất dữ liệu được thực hiện thông qua các kênh khác nhau, bao gồm sử dụng các Telegram bots hoặc các máy chủ gate server chuyên dụng để truyền tải dữ liệu đã đánh cắp về máy chủ điều khiển và kiểm soát (C2) của tác nhân đe dọa.
Một trong những gate server đã được xác định và theo dõi là hxxp://llkjllj[.]top. Việc sử dụng Telegram bots cho phép các tác nhân đe dọa nhận thông tin một cách nhanh chóng và tự động, đồng thời việc sử dụng gate servers cung cấp một kênh dự phòng hoặc bổ sung để đảm bảo dữ liệu được truyền tải thành công, ngay cả khi một kênh bị phát hiện và chặn.
Kỹ thuật Né tránh và Duy trì Quyền truy cập
Các biến thể nâng cao của Qwizzserial thể hiện sự phát triển đáng kể trong kỹ thuật né tránh sự phát hiện và duy trì quyền truy cập trên thiết bị của nạn nhân. Chúng sử dụng các công cụ làm rối mã (obfuscation tools) như NP Manager và Allatori Demo. Việc làm rối mã này giúp che giấu cấu trúc và logic thực sự của mã độc, làm cho việc phân tích ngược (reverse engineering) trở nên phức tạp và khó khăn hơn đối với các nhà nghiên cứu bảo mật và các giải pháp chống mã độc truyền thống.
Ngoài ra, một số biến thể của Qwizzserial còn yêu cầu người dùng tắt tính năng tối ưu hóa pin cho ứng dụng độc hại. Tính năng tối ưu hóa pin của Android được thiết kế để tự động đóng hoặc hạn chế hoạt động của các ứng dụng chạy nền nhằm tiết kiệm pin. Bằng cách yêu cầu vô hiệu hóa tính năng này, mã độc đảm bảo rằng nó có thể hoạt động liên tục ở chế độ nền mà không bị hệ thống Android hạn chế hoặc tắt do lo ngại về tiêu thụ pin. Đây là một cơ chế duy trì quyền truy cập tinh vi, cho phép mã độc tiếp tục hoạt động gián điệp và đánh cắp dữ liệu trong thời gian dài mà không bị gián đoạn, từ đó tối đa hóa hiệu quả của cuộc tấn công.
Tác động và Lợi nhuận của Qwizzserial
Tác động của Qwizzserial là rất lớn về mặt tài chính. Dữ liệu được chia sẻ trên kênh Telegram “Profits” của một nhóm tấn công đã tiết lộ rằng nhóm này đã thu về khoảng 62.000 USD chỉ trong khoảng thời gian từ giữa tháng 3 đến giữa tháng 6 năm 2025. Con số này nhấn mạnh khả năng sinh lời cao của loại hình tấn công này đối với các tác nhân đe dọa, khuyến khích chúng tiếp tục phát triển và triển khai mã độc.
Mã độc này tuân theo một mô hình phân phối Pareto, trong đó khoảng 25% số mẫu chịu trách nhiệm cho 80% tổng số ca lây nhiễm. Điều này có nghĩa là một số ít các mẫu mã độc có hiệu quả cao hơn đáng kể trong việc lây lan và lây nhiễm các thiết bị, có thể do chúng được thiết kế tinh vi hơn hoặc được phân phối thông qua các kênh hiệu quả hơn. Đặc biệt, các mẫu giả mạo các tổ chức tài chính đạt được tỷ lệ phân phối cao nhất, cho thấy sự thành công của chiến thuật đánh lừa dựa trên niềm tin của nạn nhân vào các dịch vụ tài chính hợp pháp.
Ngoài việc đánh cắp dữ liệu ban đầu, Qwizzserial còn chặn các tin nhắn SMS đến bằng cách sử dụng broadcast receivers của Android. Mã độc này đặc biệt nhắm mục tiêu vào các thông báo ngân hàng và các giao dịch lớn hơn 500.000 UZS (khoảng 38-39 USD). Sự tập trung vào các giao dịch có giá trị cao cho thấy mục tiêu tài chính rõ ràng của các tác nhân đe dọa, nhằm tối đa hóa lợi nhuận từ mỗi nạn nhân.
Mối đe dọa dai dẳng này đã khai thác hiệu quả sự phụ thuộc của ngành ngân hàng địa phương tại Uzbekistan vào xác thực SMS. Tại nhiều quốc gia, SMS OTP (One-Time Password) vẫn là phương pháp xác thực giao dịch phổ biến, và việc Qwizzserial có khả năng chặn các tin nhắn này làm suy yếu đáng kể tính bảo mật của hệ thống ngân hàng trực tuyến và tài khoản người dùng, tạo điều kiện cho các vụ lừa đảo tài chính.
Chỉ số Nhận diện (IOCs)
Để hỗ trợ các nỗ lực phòng thủ và phát hiện, dưới đây là các Chỉ số Nhận diện (IOCs) liên quan đến mã độc Qwizzserial được trích xuất từ nội dung:
- Gate Server C2:
hxxp://llkjllj[.]top - Tên kênh Telegram lừa đảo phổ biến:
Moliyaviy Yordam(Hỗ trợ Tài chính) - Tên tệp lừa đảo ví dụ:
Are these your photos?
Việc theo dõi và chặn các IOCs này có thể giúp các tổ chức và cá nhân phát hiện sớm sự hiện diện của mã độc Qwizzserial trong môi trường của họ và giảm thiểu rủi ro lây nhiễm.
Biện pháp Phát hiện và Phòng chống
Để chống lại mối đe dọa đang phát triển này, Group-IB đã phát triển các phương pháp phát hiện tiên tiến trong hệ thống Fraud Protection của mình. Hệ thống này được thiết kế để nhận diện cả các mẫu Qwizzserial đã biết và các loại SMS stealer mới nổi thông qua việc áp dụng các quy tắc dựa trên hành vi (behavior-based rules).
Cách tiếp cận dựa trên hành vi cho phép hệ thống không chỉ dựa vào các dấu hiệu chữ ký tĩnh (signature-based) mà còn phân tích các hành vi độc hại động của ứng dụng, chẳng hạn như yêu cầu quyền bất thường, cố gắng đọc SMS, hoặc kết nối đến các máy chủ C2 đã biết. Điều này giúp cung cấp khả năng phòng thủ chủ động chống lại các mối đe dọa đang phát triển và chưa được biết đến (zero-day threats). Đây là điều đặc biệt quan trọng vì các tác nhân đe dọa liên tục cập nhật và thay đổi mã độc của chúng để né tránh sự phát hiện của các giải pháp bảo mật truyền thống.
Người dùng cuối cũng đóng một vai trò quan trọng trong việc phòng chống mã độc này. Luôn cảnh giác với các tin nhắn và ứng dụng không rõ nguồn gốc, đặc biệt là những ứng dụng yêu cầu quyền truy cập nhạy cảm (như SMS, danh bạ, quyền gọi điện) hoặc giả mạo các tổ chức tài chính hoặc chính phủ. Việc chỉ cài đặt ứng dụng từ các nguồn đáng tin cậy (như Google Play Store) và kiểm tra kỹ các quyền mà ứng dụng yêu cầu trước khi cấp là những biện pháp phòng ngừa cơ bản nhưng cực kỳ hiệu quả để bảo vệ thiết bị và dữ liệu cá nhân khỏi các mối đe dọa như Qwizzserial.
