Cerberus Anti-theft là một trường hợp mối đe dọa mạng trên Android khi một ứng dụng stalkerware vẫn tồn tại công khai trên Google Play Store từ 04/10/2023. Ứng dụng này được phân phối dưới tên gói com.ssurebrec, quảng bá như một công cụ chống trộm hợp pháp nhưng có thể chụp ảnh lén, theo dõi vị trí, ghi âm và xóa thiết bị mà nạn nhân không hề biết. Đây là một ví dụ điển hình của tin tức bảo mật liên quan đến ứng dụng độc hại phát tán qua kho ứng dụng chính thức.
Hành vi và phạm vi ảnh hưởng của Cerberus
Ứng dụng được vận hành bởi LSDroid SRL và được bán theo mô hình thuê bao 5 euro mỗi tháng. Theo tài liệu phân tích kỹ thuật, Cerberus có thể hoạt động liên tục và thực thi các lệnh từ xa mà không hiển thị cảnh báo cho người dùng.
Khi nạn nhân nhận một thông báo có vẻ bình thường trên màn hình khóa và chạm vào, ứng dụng có thể chụp ảnh bằng camera trước trong vòng 15 giây, ghi lại vị trí thiết bị và thực thi các lệnh đã được cấu hình sẵn. Quá trình này diễn ra âm thầm, không có bất kỳ prompt hay chỉ báo nào xuất hiện trên giao diện.
Ứng dụng được thiết kế để kích hoạt theo nhiều sự kiện hệ thống như:
- Khởi động thiết bị.
- Mở khóa màn hình.
- Thay đổi mạng.
- Cài đặt ứng dụng mới.
- Chuyển động vật lý do cảm biến chuyển động phát hiện.
Cách thiết kế này giúp Cerberus duy trì trạng thái hoạt động liên tục, bất kể bảng điều khiển điều khiển có đang đăng nhập hay không. Với góc nhìn phòng thủ, đây là một rủi ro bảo mật kéo dài trên thiết bị đầu cuối di động, đặc biệt khi người dùng không kiểm soát được quyền truy cập mà ứng dụng đã giành được.
Cơ chế điều khiển từ xa qua Firebase Cloud Messaging
Điểm đáng chú ý của Cerberus Anti-theft là việc sử dụng hạ tầng của bên thứ ba để vận hành command-and-control. Tất cả lệnh từ xa được truyền qua Firebase Cloud Messaging, nghĩa là chỉ thị của người điều khiển sẽ đi qua máy chủ của nền tảng trước khi tới thiết bị mục tiêu.
Có 5 dự án Firebase liên kết với cùng tài khoản nhà phát triển LSDroid, trong đó lưu trữ các kênh lệnh và cơ sở dữ liệu thời gian thực đồng bộ giữa dashboard và thiết bị đã cài đặt. Theo mô tả kỹ thuật, nếu các dự án Firebase này bị tạm ngừng, toàn bộ cài đặt Cerberus đang hoạt động sẽ bị ngắt kết nối ngay lập tức khỏi bên điều khiển.
Tham khảo thêm tài liệu phân tích gốc tại Hexproof.
44 lệnh từ xa và bảng điều khiển web
Phân tích của Hexproof cho thấy Cerberus hỗ trợ 44 lệnh từ xa được gửi qua bảng điều khiển web tại cerberusapp.com. Các lệnh này bao phủ nhiều tác vụ giám sát và kiểm soát thiết bị, bao gồm:
- Chụp ảnh từ camera trước.
- Ghi âm.
- Thu thập vị trí.
- Xóa thiết bị.
- Thực thi các hành vi giám sát khác do người điều khiển cấu hình.
Nhóm nghiên cứu cũng ghi nhận rằng các khả năng giám sát được mô tả trong công bố học thuật năm 2018 vẫn còn nguyên trong phiên bản hiện có trên Google Play Store. Điều này cho thấy khai thác zero-day không phải trọng tâm ở đây; thay vào đó là việc một ứng dụng stalkerware duy trì chức năng giám sát trong thời gian dài trên kho ứng dụng chính thức.
Vai trò của ứng dụng Lock Screen Protector
Ứng dụng đi kèm Lock Screen Protector với tên gói com.lsdroid.lsp đóng vai trò mở rộng phạm vi kiểm soát của Cerberus. Sau khi được cấp quyền Android accessibility service, ứng dụng này có thể đọc toàn bộ nội dung hiển thị trên màn hình, thực hiện thao tác chạm và chụp ảnh màn hình.
Khi nạn nhân cố gắng tắt nguồn thiết bị, ứng dụng có thể chặn hộp thoại tắt máy, hủy thao tác và gửi ảnh chụp màn hình khóa về ứng dụng Cerberus chính. Kết quả là thiết bị trông như đã tắt, nhưng camera, micro và GPS vẫn tiếp tục hoạt động.
Ứng dụng còn sử dụng thư viện mã nguồn mở HiddenApiBypass để vượt qua các giới hạn nội bộ của Android, cho thấy nỗ lực né tránh phát hiện từ người dùng và cả cơ chế kiểm tra của nền tảng.
IOC liên quan đến Cerberus Anti-theft
Các IOC có thể trích xuất trực tiếp từ nội dung kỹ thuật gồm:
- Tên gói: com.ssurebrec
- Tên gói ứng dụng liên quan: com.lsdroid.lsp
- Tên ứng dụng: Cerberus Anti-theft
- Tên ứng dụng phụ: Lock Screen Protector
- Miền điều khiển: cerberusapp.com
- Dịch vụ C2: Firebase Cloud Messaging
- Tài khoản nhà phát triển: LSDroid SRL
Thông số đáng chú ý từ phân tích kỹ thuật
Cerberus từng chiếm 52% tổng số phát hiện stalkerware mà F-Secure theo dõi toàn cầu trong năm 2020, trở thành họ stalkerware bị phát hiện nhiều nhất trong năm đó. Dữ kiện này cho thấy mức độ phổ biến và khả năng duy trì chiến dịch của phần mềm gián điệp dạng di động này.
Trường hợp này cũng cho thấy một dạng tin tức an ninh mạng đặc biệt: ứng dụng độc hại tồn tại trên kho ứng dụng chính thức trong thời gian dài, đồng thời khai thác hạ tầng hợp lệ để điều khiển từ xa. Việc giảm thiểu rủi ro bảo mật phụ thuộc vào khả năng phát hiện hành vi bất thường, rà soát quyền accessibility và kiểm tra các dịch vụ nền liên quan đến Firebase.
Các dấu hiệu cần lưu ý khi kiểm tra thiết bị
- Ứng dụng yêu cầu quyền accessibility nhưng không có lý do chức năng tương xứng.
- Thiết bị tiếp tục hoạt động camera, micro hoặc GPS sau khi người dùng nghĩ rằng đã tắt máy.
- Xuất hiện các thay đổi quyền ứng dụng được báo cáo thời gian thực về phía điều khiển.
- Ứng dụng có hành vi chụp màn hình, đọc nội dung hiển thị hoặc thao tác giao diện mà không có tương tác rõ ràng từ người dùng.
Tài liệu tham chiếu và nguồn kỹ thuật
Thông tin nền tảng về lỗ hổng CVE và các vấn đề bảo mật liên quan đến Android có thể đối chiếu thêm trên cơ sở dữ liệu công khai của NVD: https://nvd.nist.gov/. Dù nội dung này không đề cập một cảnh báo CVE cụ thể, việc tham chiếu nguồn chính thống giúp đối chiếu kỹ thuật và xác thực các phát hiện liên quan đến hành vi phần mềm độc hại trên di động.
