Một trojan Android mới có tên MagicAd đã được phát hiện đang tấn công các thiết bị bị nhiễm bằng quảng cáo, bằng cách khai thác các hạn chế tích hợp của hệ điều hành Android. Điểm đặc biệt của mối đe dọa này nằm ở phương thức hoạt động, sử dụng nhiều kỹ thuật để hiển thị quảng cáo ở chế độ nền, ngay cả khi ứng dụng đã bị người dùng đóng hoàn toàn.
Phân tích kỹ thuật về MagicAd
Phương thức phân phối và ẩn mình
Malware này được tìm thấy ẩn mình trong hơn 50 trò chơi và ứng dụng được liệt kê trên GetApps, cửa hàng ứng dụng chính thức cho các thiết bị Xiaomi. Mỗi ứng dụng bị nhiễm chỉ xuất hiện trên cửa hàng trong một thời gian ngắn, thường là khoảng một tháng, sau đó âm thầm biến mất và được thay thế bằng một phiên bản mới.
Chiến lược luân chuyển này dường như là một động thái có chủ đích nhằm tránh bị phát hiện sớm, đồng thời duy trì hoạt động của mối đe dọa trên thiết bị người dùng ngay cả sau khi ứng dụng đã bị gỡ bỏ khỏi cửa hàng.
Các kỹ thuật tránh bị phát hiện
Trước khi thực hiện các hành vi độc hại, trojan sẽ âm thầm kiểm tra xem nó có đang bị giám sát hoặc phân tích hay không. Nó tìm kiếm các dấu hiệu của máy ảo, kiểm tra xem việc cài đặt có đến từ người dùng thực hay không và xác minh địa chỉ mạng của thiết bị với một danh sách đen nội bộ.
Nếu mọi thứ có vẻ bình thường, MagicAd sẽ ẩn biểu tượng của chính nó khỏi menu ứng dụng và thiết lập các dịch vụ nền để đảm bảo hoạt động liên tục.
Khả năng nhắm mục tiêu đa dạng
Phạm vi hoạt động của malware không chỉ giới hạn ở các thiết bị Xiaomi. Các biến thể đã được thiết kế để nhắm mục tiêu điện thoại thông minh Vivo và thiết bị Amazon Fire TV, khiến nó trở thành một mối đe dọa rộng hơn so với những gì có thể nhận thấy ban đầu.
Kỹ thuật hiển thị quảng cáo tinh vi
Điểm cốt lõi mà MagicAd sử dụng là khả năng khởi chạy quảng cáo mà không cần yêu cầu quyền truy cập, vốn thường cho phép một ứng dụng hiển thị cửa sổ chồng lên các ứng dụng khác.
Thay vào đó, nó tải các biểu ngữ quảng cáo dưới dạng một Translucent Activity, cho phép chúng xuất hiện trên màn hình mà không kích hoạt các kiểm tra quyền truy cập thông thường.
Khai thác các thành phần hệ thống
Trên các thiết bị Xiaomi, trojan gửi các thông điệp được chế tạo gọi là intents đến các ứng dụng hệ thống tích hợp như Mi Browser và Miui SystemUI. Đây là những chương trình đáng tin cậy có thể nhận chỉ thị ngay cả khi không mở, vì vậy MagicAd sử dụng chúng làm kênh chuyển tiếp để đẩy quảng cáo lên màn hình.
Trên các thiết bị Vivo, một phương pháp tương tự sử dụng Android Binder, một kênh hệ thống cấp thấp hơn, nhắm mục tiêu đến iManager, Phonebook, Vivo Browser và Baidu IME Customized để đạt được kết quả tương tự.
Sử dụng Media Controls để hiển thị quảng cáo
Phương pháp sáng tạo nhất hoạt động trên hầu hết các thiết bị Android bất kể nhà sản xuất. MagicAd giải mã một tệp âm thanh ẩn từ mã của chính nó, khởi chạy trình phát media hệ thống với âm lượng bằng không và liên kết nó với các điều khiển media toàn cầu của Android.
Sau đó, nó mô phỏng một lần nhấn nút bằng lệnh nền, chuyển quyền kiểm soát trở lại cho malware để nó có thể âm thầm khởi chạy quảng cáo. Người dùng thấy một quảng cáo xuất hiện mà không rõ lý do.
Các cơ chế duy trì hoạt động bền bỉ
MagicAd không chỉ dựa vào một phương pháp duy nhất để duy trì hoạt động. Nó sử dụng một task scheduler để khởi động lại các dịch vụ nền của nó một cách thường xuyên. Trên các phiên bản Android cũ hơn, nó khởi chạy một màn hình ảo để ngăn hệ thống tắt các thành phần của nó. Ngay cả khi một phương pháp thất bại, malware sẽ thử lại trước khi chuyển sang một cách tiếp cận dự phòng trực tiếp hơn.
Biện pháp phòng chống và giảm thiểu rủi ro
Người dùng nên thường xuyên xem xét các ứng dụng không quen thuộc trên thiết bị của mình và gỡ bỏ bất cứ thứ gì đáng ngờ hoặc không được nhận dạng. Việc giữ cho hệ điều hành của thiết bị được cập nhật cũng rất quan trọng, vì các phiên bản Android mới hơn ngày càng chặn các loại hành vi nền mà MagicAd dựa vào.
Một công cụ bảo mật di động có khả năng theo dõi các hoạt động như vậy có thể giúp phát hiện và loại bỏ các cuộc tấn công trước khi chúng gây ra sự gián đoạn lâu dài.
Chỉ số Compromise (IoCs)
Lưu ý: Các địa chỉ IP và tên miền được làm rối (ví dụ: `[.]`) để ngăn việc phân giải hoặc tạo siêu liên kết vô tình. Chỉ giải rối lại trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- IP: 104.16.115[.]com
- IP: 104.16.116[.]com
- IP: 172.67.167[.]com
- IP: 172.67.174[.]com
- IP: 104.16.117[.]com
- Domain: static.cloudflare-cn.com
- Domain: www.xiaohongshu.com
- Domain: s0.meituan.com
Nguồn tham khảo chi tiết về các kỹ thuật được sử dụng trong MagicAd có thể được tìm thấy tại đây: Dr.Web Report on MagicAd.
