Kể từ đầu năm 2025, mã độc ToxicPanda đã nổi lên như một mối đe dọa nghiêm trọng đối với các thiết bị Android, đặc biệt ảnh hưởng đến hơn 4.500 thiết bị chủ yếu ở Bồ Đào Nha và Tây Ban Nha. Mục tiêu chính của trojan này là đánh cắp thông tin đăng nhập ngân hàng, tạo các lớp phủ giả mạo (overlay) cho mã PIN và mật khẩu, cũng như thực hiện các giao dịch trái phép.
Tổng quan về mã độc ToxicPanda
Sự Phát triển và Thay đổi Địa bàn Tấn công
Ban đầu, ToxicPanda được Trend Micro phát hiện vào năm 2022, nhắm mục tiêu vào khu vực Đông Nam Á. Đến năm 2024, mã độc này đã chuyển hướng sang châu Âu, lây nhiễm khoảng 1.500 thiết bị. Các nhà nghiên cứu của Cleafy báo cáo rằng những quốc gia bị ảnh hưởng chính trong giai đoạn này bao gồm Ý, Bồ Đào Nha, Hồng Kông, Tây Ban Nha và Peru.
Đến năm 2025, các quan sát của TRACE cho thấy một sự thay đổi chiến lược có chủ đích sang Bán đảo Iberia. Bồ Đào Nha ghi nhận khoảng 3.000 trường hợp lây nhiễm và Tây Ban Nha là 1.000 trường hợp. Con số này chiếm hơn 85% tổng số ca lây nhiễm toàn cầu của mã độc ToxicPanda. Các quốc gia khác như Hy Lạp, Ma-rốc và Peru chỉ chịu ảnh hưởng nhẹ hơn.
Thiết bị Mục tiêu và Xu hướng Tấn công
Mã độc ToxicPanda chủ yếu nhắm vào các mẫu điện thoại giá cả phải chăng từ các thương hiệu phổ biến. Các thiết bị bị ảnh hưởng nhiều nhất bao gồm Samsung (dòng A và S, kể cả các mẫu cũ như S8-S9 và mới hơn như S23), Xiaomi (Redmi) và Oppo (dòng A). Điều này cho thấy khả năng tương thích rộng rãi của mã độc trên nhiều phân khúc thiết bị.
Sự gia tăng của ToxicPanda cũng song hành với xu hướng chung về tấn công mạng di động, cụ thể là các trojan ngân hàng Android. Theo báo cáo từ BitSight, năm 2024 chứng kiến mức tăng 196% trong các cuộc tấn công trojan ngân hàng Android, với hơn 1,24 triệu sự cố được Kaspersky ghi nhận. Điều này nhấn mạnh sự phức tạp ngày càng tăng của các mối đe dọa tài chính di động, ưu tiên các cuộc tấn công có mục tiêu và tác động cao hơn là các mạng botnet quy mô lớn như proxy hoặc mạng DDoS.
Tham khảo chi tiết: ToxicPanda Android Banking Malware 2025 Study
Kỹ thuật Phân phối và Lây nhiễm
Hệ thống Phân phối Lưu lượng (TDS) TAG-124
Mã độc ToxicPanda sử dụng hệ thống phân phối lưu lượng đa tầng (TDS) tiên tiến có tên TAG-124 để phát tán. Hệ thống này lưu trữ các tệp APK độc hại như “dropper.apk” và “no_dropper.apk” trên các miền bị xâm nhập và các thư mục mở.
Các phương pháp lây nhiễm thường thấy bao gồm việc giả mạo các bản cập nhật Google Chrome hoặc sử dụng các kỹ thuật lừa đảo qua ReCaptcha để dụ dỗ người dùng tải xuống và cài đặt mã độc.
Quyền hạn và Cơ chế Hoạt động
Trong tệp AndroidManifest.xml của mình, mã độc ToxicPanda yêu cầu 58 quyền hạn khác nhau. Nhiều quyền trong số đó là các quyền đặc biệt và có mức độ rủi ro cao, cho phép mã độc kiểm soát sâu rộng thiết bị:
- READ_SMS và RECEIVE_SMS: Để đọc và chặn tin nhắn SMS, đặc biệt là mã OTP (One-Time Password) từ ngân hàng.
- BIND_NOTIFICATION_LISTENER_SERVICE: Giúp chặn và đọc thông báo, bao gồm các thông báo nhạy cảm từ ứng dụng ngân hàng.
- SYSTEM_ALERT_WINDOW: Cho phép tạo các lớp phủ (overlay) giả mạo lên trên các ứng dụng hợp pháp, phục vụ mục đích lừa đảo (phishing).
- BIND_ACCESSIBILITY_SERVICE: Quyền này cung cấp quyền kiểm soát hoàn toàn thiết bị, bao gồm khả năng ghi lại thao tác bàn phím (keylogging), tự động điều hướng giao diện người dùng, và chiếm quyền điều khiển UI (UI hijacking).
Sau khi được cài đặt, mã độc giả dạng một ứng dụng Google Chrome giả mạo. Nó lừa người dùng kích hoạt các dịch vụ trợ năng (accessibility services). Từ đó, mã độc ToxicPanda lạm dụng các quyền này để hiển thị các màn hình đăng nhập giả mạo lên trên 39 ứng dụng ngân hàng khác nhau.
Các màn hình lừa đảo này được tải thông qua các payload JSON từ máy chủ C2. Mã độc thu thập thông tin đăng nhập bằng cách sửa đổi WebView và khai thác các lỗ hổng liên quan đến TYPE_ACCESSIBILITY_OVERLAY để chiếm đoạt thông tin người dùng.
Cơ chế Né tránh và Giao tiếp C2
Tính năng Chống Giả lập (Anti-emulation)
Để ngăn chặn việc bị phát hiện và phân tích trong môi trường sandbox, mã độc ToxicPanda tích hợp các tính năng chống giả lập mạnh mẽ. Mã độc thực hiện nhiều kiểm tra khác nhau, bao gồm thông tin CPU, đường dẫn giả lập, trạng thái Bluetooth, cảm biến ánh sáng xung quanh và các cuộc gọi điện thoại.
Những kiểm tra này giúp mã độc phát hiện và tránh kích hoạt trong các môi trường phân tích như Joe Sandbox, VirusTotal và Triage, gây khó khăn cho các nhà nghiên cứu bảo mật trong việc phân tích hành vi của nó.
Giao tiếp Command and Control (C2)
Để duy trì kết nối bền bỉ với máy chủ C2, mã độc ToxicPanda sử dụng Thuật toán Tạo Miền (Domain Generation Algorithm – DGA). DGA này tạo ra các tên miền cấp hai hàng tháng, được nối với các TLD (Top-Level Domain) như .com, .net. Điều này giúp mã độc linh hoạt thay đổi địa chỉ C2 và tránh bị chặn.
Nếu phương thức DGA thất bại, mã độc sẽ chuyển sang sử dụng các tệp “dom.txt” được mã hóa. Các tệp này được giải mã bằng thuật toán DES/CBC/PKCS5Padding với khóa “jp202411” và IV “jp202411”. Các payload gửi đi được mã hóa bằng AES/ECB/PKCS5Padding với khóa cứng “0623U25KTT3YO8P9”. Các lệnh C2 mới như setDomain, openLayer, và updatePageRule đã được thêm vào để tăng cường khả năng triển khai lớp phủ và duy trì truy cập.
Cơ chế Duy trì và Cơ sở Hạ tầng
Cơ chế Duy trì (Persistence) trên Thiết bị
Mã độc ToxicPanda sử dụng nhiều cơ chế để đảm bảo khả năng duy trì trên thiết bị bị lây nhiễm. Một trong số đó là việc đăng ký các broadcast receiver để lắng nghe các intent như PACKAGE_REMOVED. Điều này cho phép mã độc tự kích hoạt lại thông qua các broadcast “RestartSensor” nếu người dùng cố gắng gỡ cài đặt.
Ngoài ra, mã độc còn có khả năng chống lại việc gỡ cài đặt bằng cách tự động đóng các cửa sổ hộp thoại xác nhận thông qua việc lạm dụng quyền trợ năng. Điều này khiến người dùng gặp khó khăn trong việc loại bỏ hoàn toàn mã độc ngân hàng Android này khỏi thiết bị của họ.
Chỉ số Nhận diện (IOCs) và Nguồn Gốc
Cơ sở hạ tầng mạng của ToxicPanda có liên quan đến các địa chỉ IP của Cloudflare và các miền không phải DGA như ksicngtw[.]org. Một số dấu vết mã nguồn Mandarin cho thấy khả năng mã độc này có nguồn gốc từ Trung Quốc.
Các chỉ số nhận diện (IOCs) chính liên quan đến mã độc ToxicPanda bao gồm:
- Tên gói ứng dụng:
com.example.mysoul - Miền C2 không phải DGA:
ksicngtw[.]org - Khóa mã hóa DES:
jp202411 - IV mã hóa DES:
jp202411 - Khóa mã hóa AES:
0623U25KTT3YO8P9
Biện pháp Khắc phục và Phòng ngừa
Hướng dẫn Gỡ bỏ Mã độc
Việc gỡ bỏ mã độc ToxicPanda yêu cầu sử dụng các lệnh ADB (Android Debug Bridge) để buộc dừng và gỡ cài đặt gói ứng dụng. Đây là phương pháp hiệu quả nhất để loại bỏ mã độc này khỏi thiết bị bị nhiễm:
adb shell pm uninstall com.example.mysoulKhuyến nghị Bảo vệ và An toàn Thông tin
Với sự phát triển liên tục của các bộ lệnh mở rộng và tích hợp TDS, mối đe dọa từ mã độc ToxicPanda vẫn đang tiếp diễn. Để giảm thiểu rủi ro từ mã độc ngân hàng Android và các mối đe dọa tương tự, người dùng được khuyến nghị:
- Chỉ tải ứng dụng từ các cửa hàng ứng dụng chính thức và đáng tin cậy (Google Play Store).
- Luôn kiểm tra kỹ lưỡng các quyền mà ứng dụng yêu cầu trước khi cài đặt.
- Thường xuyên kiểm tra và giám sát các quyền trợ năng (Accessibility Services) được cấp cho các ứng dụng, đảm bảo chỉ những ứng dụng hợp pháp mới có quyền này.
