Các nhà nghiên cứu an ninh mạng đã công bố chi tiết về hai họ mã độc Android mới có tên FvncBot và SeedSnatcher, trong bối cảnh một phiên bản nâng cấp của ClayRat cũng đã được phát hiện trong thực tế.
Các phát hiện này đến từ Intel 471, CYFIRMA và Zimperium.
FvncBot, tự ngụy trang thành một ứng dụng bảo mật do mBank phát triển, nhắm mục tiêu vào người dùng ngân hàng di động ở Ba Lan. Điều đáng chú ý về mã độc này là nó được viết hoàn toàn từ đầu và không lấy cảm hứng từ các banking trojan Android khác như ERMAC đã bị rò rỉ mã nguồn.
Mã độc này "đã triển khai nhiều tính năng bao gồm keylogging bằng cách lạm dụng các dịch vụ hỗ trợ tiếp cận (accessibility services) của Android, tấn công web-inject, truyền phát màn hình và hidden virtual network computing (HVNC) để thực hiện các hành vi gian lận tài chính thành công," theo Intel 471.
Tương tự như mã độc ngân hàng Albiriox được phát hiện gần đây, mã độc này được bảo vệ bởi một dịch vụ mã hóa (crypting service) tên là apk0day do Golden Crypt cung cấp. Ứng dụng độc hại này hoạt động như một loader bằng cách cài đặt payload FvncBot được nhúng.
Ngay sau khi ứng dụng dropper được khởi chạy, người dùng sẽ được nhắc cài đặt một thành phần của Google Play để đảm bảo an ninh và sự ổn định của ứng dụng, nhưng trên thực tế, nó dẫn đến việc triển khai mã độc bằng cách sử dụng một phương pháp dựa trên phiên (session-based approach) đã được các tác nhân đe dọa khác áp dụng để vượt qua các hạn chế về dịch vụ hỗ trợ tiếp cận (accessibility restrictions) trên các thiết bị Android chạy phiên bản 13 trở lên.
"Trong quá trình chạy mã độc, các sự kiện log đã được gửi đến máy chủ từ xa tại tên miền naleymilva.it.com để theo dõi trạng thái hiện tại của bot," Intel 471 cho biết. "Các nhà điều hành đã đưa vào một định danh bản dựng call_pl, cho thấy Ba Lan là quốc gia mục tiêu, và phiên bản mã độc được đặt là 1.0-P, cho thấy đây là giai đoạn đầu phát triển."
Mã độc sau đó yêu cầu nạn nhân cấp quyền dịch vụ hỗ trợ tiếp cận (accessibility services permissions), cho phép nó hoạt động với đặc quyền nâng cao và kết nối với máy chủ bên ngoài qua HTTP để đăng ký thiết bị bị nhiễm và nhận lệnh phản hồi bằng dịch vụ Firebase Cloud Messaging (FCM).
Dưới đây là một số chức năng hỗ trợ:
- Bắt đầu/dừng kết nối WebSocket để điều khiển thiết bị từ xa và vuốt, nhấp hoặc cuộn để điều hướng màn hình thiết bị
- Trích xuất các sự kiện dịch vụ hỗ trợ tiếp cận đã được ghi lại đến máy chủ điều khiển
- Trích xuất danh sách các ứng dụng đã cài đặt
- Trích xuất thông tin thiết bị và cấu hình bot
- Nhận cấu hình để hiển thị các overlay độc hại trên các ứng dụng mục tiêu
- Hiển thị một overlay toàn màn hình để thu thập và trích xuất dữ liệu nhạy cảm
- Ẩn một overlay
- Kiểm tra trạng thái dịch vụ hỗ trợ tiếp cận
- Lạm dụng dịch vụ hỗ trợ tiếp cận để ghi lại các thao tác gõ phím (keystrokes)
- Lấy các lệnh đang chờ từ máy chủ điều khiển
- Lạm dụng MediaProjection API của Android để truyền phát nội dung màn hình
FvncBot cũng tạo điều kiện cho cái gọi là chế độ văn bản (text mode) để kiểm tra bố cục và nội dung màn hình thiết bị ngay cả trong các trường hợp ứng dụng ngăn chụp ảnh màn hình bằng cách đặt tùy chọn FLAG_SECURE.
Hiện vẫn chưa rõ FvncBot được phân phối như thế nào, nhưng các banking trojan Android thường được biết đến là sử dụng SMS phishing và các cửa hàng ứng dụng bên thứ ba làm vector lây lan.
Dịch vụ hỗ trợ tiếp cận của Android được thiết kế để hỗ trợ người dùng khuyết tật, nhưng nó cũng có thể cung cấp cho kẻ tấn công khả năng biết khi nào các ứng dụng nhất định được khởi chạy và ghi đè lên hiển thị màn hình," Intel 471 cho biết. "Mặc dù mẫu cụ thể này được cấu hình để nhắm mục tiêu người dùng nói tiếng Ba Lan, nhưng có khả năng chúng ta sẽ thấy chủ đề này chuyển sang nhắm mục tiêu các khu vực khác hoặc mạo danh các tổ chức Ba Lan khác.
Trong khi FvncBot chủ yếu tập trung vào việc đánh cắp dữ liệu, SeedSnatcher – được phân phối dưới tên Coin qua Telegram – được thiết kế để đánh cắp các cụm từ khôi phục ví tiền điện tử (cryptocurrency wallet seed phrases). Nó cũng hỗ trợ khả năng chặn tin nhắn SMS đến để đánh cắp mã xác thực hai yếu tố (two-factor authentication - 2FA) nhằm chiếm đoạt tài khoản, cũng như thu thập dữ liệu thiết bị, danh bạ, nhật ký cuộc gọi, tệp và dữ liệu nhạy cảm bằng cách hiển thị các phishing overlays.
Người ta đánh giá rằng các nhà điều hành của SeedSnatcher có trụ sở tại Trung Quốc hoặc nói tiếng Trung dựa trên sự hiện diện của các hướng dẫn bằng tiếng Trung được chia sẻ qua Telegram và bảng điều khiển của stealer này.
Mã độc này sử dụng các kỹ thuật tiên tiến để trốn tránh phát hiện, bao gồm dynamic class loading, stealthy WebView content injection và các lệnh command-and-control dựa trên số nguyên," CYFIRMA cho biết. "Ban đầu, nó chỉ yêu cầu các quyền runtime tối thiểu như SMS access, nhưng sau đó sẽ leo thang đặc quyền để truy cập trình quản lý tệp, overlays, danh bạ, nhật ký cuộc gọi và nhiều hơn nữa.
Những diễn biến này xảy ra khi Zimperium zLabs cho biết họ đã phát hiện một phiên bản ClayRat cải tiến, được cập nhật để lạm dụng các dịch vụ hỗ trợ tiếp cận (accessibility services) cùng với việc khai thác các quyền SMS mặc định của nó, biến nó thành một mối đe dọa mạnh hơn có khả năng ghi lại các thao tác gõ phím (keystrokes) và màn hình, hiển thị các overlay khác nhau như màn hình cập nhật hệ thống để che giấu hoạt động độc hại, và tạo các thông báo tương tác giả mạo để đánh cắp phản hồi của nạn nhân.
Tóm lại, việc mở rộng khả năng của ClayRat tạo điều kiện thuận lợi cho việc chiếm quyền điều khiển thiết bị hoàn toàn thông qua lạm dụng dịch vụ hỗ trợ tiếp cận, tự động mở khóa PIN/mật khẩu/mẫu hình thiết bị, ghi lại màn hình, thu thập thông báo và các overlay liên tục.
ClayRat đã được phát tán thông qua 25 tên miền phishing lừa đảo mạo danh các dịch vụ hợp pháp như YouTube, quảng cáo phiên bản Pro cho tính năng phát lại trong nền và hỗ trợ 4K HDR. Các ứng dụng dropper phân phối mã độc này cũng được tìm thấy là bắt chước các ứng dụng taxi và đỗ xe của Nga.
"Tổng hợp lại, những khả năng này khiến ClayRat trở thành một spyware nguy hiểm hơn so với phiên bản trước, nơi nạn nhân có thể gỡ cài đặt ứng dụng hoặc tắt thiết bị khi phát hiện nhiễm mã độc," các nhà nghiên cứu Vishnu Pratapagiri và Fernando Ortega cho biết.
