Các nhà nghiên cứu an ninh mạng đã phát hiện ra nửa tá họ mã độc Android mới với khả năng đánh cắp dữ liệu từ các thiết bị bị xâm nhập và thực hiện gian lận tài chính.
Các mã độc Android này bao gồm từ các trojan ngân hàng truyền thống như PixRevolution, TaxiSpy RAT, BeatBanker, Mirax và Oblivion RAT đến các công cụ quản lý từ xa đầy đủ tính năng như SURXRAT.
PixRevolution – Trojan ngân hàng tấn công nền tảng Pix của Brazil
Theo Zimperium, PixRevolution nhắm mục tiêu vào nền tảng thanh toán tức thời Pix của Brazil, chiếm đoạt các giao dịch chuyển tiền của nạn nhân theo thời gian thực để chuyển hướng chúng đến những kẻ tấn công thay vì người nhận dự kiến.
"Biến thể mã độc mới này hoạt động một cách lén lút trong thiết bị cho đến khi nạn nhân thực hiện giao dịch chuyển khoản Pix," nhà nghiên cứu bảo mật Aazim Yaswant cho biết. "Điều khiến mối đe dọa này khác biệt so với các trojan ngân hàng thông thường là thiết kế cơ bản của nó: một tác nhân điều hành là người hoặc AI được tham gia tích cực ở đầu xa, theo dõi màn hình điện thoại của nạn nhân ngay lập tức, sẵn sàng hành động vào đúng thời điểm giao dịch."
Mã độc Android này lây lan qua các trang giả mạo danh sách ứng dụng trên Google Play Store cho các ứng dụng như Expedia, Sicredi và Correios để lừa người dùng cài đặt các tệp APK độc hại. Sau khi cài đặt, các ứng dụng này thúc giục người dùng bật dịch vụ trợ năng (accessibility services) để đạt được mục tiêu của chúng.
Nó cũng kết nối với một máy chủ bên ngoài qua TCP trên cổng 9000 để gửi các tin nhắn "heartbeat" định kỳ chứa thông tin thiết bị và kích hoạt quay màn hình thời gian thực bằng API MediaProjection của Android. Tuy nhiên, chức năng chính của PixRevolution là giám sát màn hình của nạn nhân và hiển thị một lớp phủ giả mạo ngay khi nạn nhân nhập số tiền mong muốn và khóa Pix của người nhận để bắt đầu thanh toán.
Vào thời điểm đó, trojan hiển thị một lớp phủ WebView giả mạo có nội dung "Aguarde..." (nghĩa là "chờ" trong tiếng Bồ Đào Nha/Tây Ban Nha), trong khi ở chế độ nền, nó chỉnh sửa khóa Pix bằng khóa của kẻ tấn công để hoàn tất giao dịch chuyển tiền. Ở giai đoạn cuối cùng, lớp phủ bị xóa và nạn nhân được hiển thị màn hình xác nhận "chuyển khoản hoàn tất" trong ứng dụng Pix.
"Từ góc độ của nạn nhân, không có điều gì bất thường xảy ra," Yaswant nói. "Ứng dụng chỉ hiển thị một chỉ báo tải trong thời gian ngắn, điều thường xảy ra trong các hoạt động ngân hàng hợp pháp. Giao dịch được xác nhận thành công. Số tiền họ định gửi đã được khấu trừ từ tài khoản của họ."
“Chỉ sau đó, đôi khi rất lâu sau đó, nạn nhân mới phát hiện ra tiền đã chuyển sang nhầm tài khoản. Và vì các giao dịch Pix diễn ra tức thời và không thể đảo ngược, việc thu hồi cực kỳ khó khăn.”
BeatBanker – Mã độc đào tiền ảo và chiếm quyền ngân hàng
Người dùng Brazil cũng trở thành mục tiêu của một chiến dịch mã độc dựa trên Android khác có tên BeatBanker, lây lan chủ yếu thông qua các cuộc tấn công phishing qua một trang web giả mạo Google Play Store. BeatBanker có tên gọi này từ việc sử dụng một cơ chế duy trì độc đáo, bao gồm việc phát một tệp âm thanh gần như không nghe thấy được, một đoạn ghi âm 5 giây có các từ tiếng Trung, lặp đi lặp lại để ngăn chặn nó bị chấm dứt.
Ngoài việc tích hợp các kiểm tra thời gian chạy cho môi trường giả lập hoặc phân tích, mã độc này còn giám sát nhiệt độ và phần trăm pin, đồng thời xác minh xem người dùng có đang sử dụng thiết bị để bắt đầu hoặc dừng Monero miner theo yêu cầu hay không. Nó sử dụng Firebase Cloud Messaging (FCM) của Google cho Command and Control (C2).
"Để đạt được mục tiêu của mình, các tệp APK độc hại mang nhiều thành phần, bao gồm một công cụ đào tiền điện tử và một trojan ngân hàng có khả năng chiếm quyền điều khiển hoàn toàn thiết bị và giả mạo màn hình, cùng nhiều thứ khác," Kaspersky cho biết. "Khi người dùng cố gắng thực hiện giao dịch USDT, BeatBanker tạo các trang phủ cho Binance và Trust Wallet, bí mật thay thế địa chỉ đích bằng địa chỉ chuyển khoản của kẻ tấn công."
Mô-đun ngân hàng cũng giám sát các trình duyệt web như Chrome, Edge, Firefox, Brave, Opera, DuckDuckGo, Dolphin Browser và sBrowser để theo dõi các URL mà nạn nhân truy cập. Ngoài ra, nó còn hỗ trợ khả năng nhận một danh sách dài các lệnh từ máy chủ để thu thập thông tin cá nhân và giành quyền kiểm soát hoàn toàn thiết bị.
Các phiên bản gần đây của chiến dịch đã được phát hiện là thả BTMOB RAT thay vì mô-đun ngân hàng. Nó cung cấp cho các nhà điều hành khả năng kiểm soát từ xa toàn diện, truy cập bền bỉ và giám sát các thiết bị bị xâm nhập. BTMOB được đánh giá là một sự phát triển của các họ CraxsRAT, CypherRAT và SpySolr, tất cả đều có liên quan đến một kẻ tấn công từ Syria với biệt danh trực tuyến là EVLF.
"Chúng tôi cũng thấy sự phân phối và bán mã nguồn BTMOB bị rò rỉ trên một số diễn đàn dark web," nhà cung cấp bảo mật của Nga cho biết. "Điều này có thể cho thấy rằng người tạo ra BeatBanker đã mua BTMOB từ tác giả gốc của nó hoặc từ nguồn rò rò rỉ và đang sử dụng nó làm payload cuối cùng."
TaxiSpy RAT – Gián điệp đa năng nhắm vào ứng dụng tài chính Nga
TaxiSpy RAT, tương tự như PixRevolution, lạm dụng dịch vụ trợ năng và các API MediaProjection của Android để thu thập tin nhắn SMS, danh bạ, nhật ký cuộc gọi, nội dung clipboard, danh sách ứng dụng đã cài đặt, thông báo, mã PIN màn hình khóa và nhật ký gõ phím, cũng như nhắm mục tiêu vào các ứng dụng ngân hàng, tiền điện tử và chính phủ của Nga bằng cách hiển thị các lớp phủ để thực hiện đánh cắp thông tin đăng nhập.
Mã độc này kết hợp chức năng trojan ngân hàng truyền thống với khả năng RAT đầy đủ, cho phép các kẻ tấn công thu thập dữ liệu nhạy cảm và thực thi các lệnh được gửi qua tin nhắn push của Firebase. Một số mẫu TaxiSpy đã được phát hiện bởi cả CYFIRMA và Zimperium, cho thấy những nỗ lực tích cực từ phía những kẻ tấn công để trốn tránh phát hiện dựa trên chữ ký và các biện pháp phòng thủ blacklist.
"Mã độc này tận dụng các kỹ thuật né tránh tiên tiến, chẳng hạn như mã hóa thư viện gốc, obfuscation chuỗi XOR luân phiên và kiểm soát từ xa thời gian thực giống như VNC qua WebSocket," CYFIRMA cho biết. "Thiết kế của nó cho phép giám sát thiết bị toàn diện, bao gồm SMS, nhật ký cuộc gọi, danh bạ, thông báo và giám sát ứng dụng ngân hàng, làm nổi bật động cơ tài chính và mục tiêu khu vực cụ thể của nó."
Mirax – Mã độc dạng MaaS
Một trojan ngân hàng Android đáng chú ý khác là Mirax, đã được một kẻ tấn công có tên Mirax Bot quảng cáo là một dịch vụ malware-as-a-service (MaaS) riêng tư với giá hàng tháng là 2.500 USD cho phiên bản đầy đủ hoặc 1.750 USD cho biến thể nhẹ. Mirax tuyên bố cung cấp các lớp phủ ngân hàng, thu thập thông tin (ví dụ: nhật ký gõ phím, SMS, mẫu khóa) và một proxy SOCKS5 để định tuyến lưu lượng truy cập độc hại qua các thiết bị bị xâm nhập.
Oblivion RAT – Trojan truy cập từ xa với khả năng vượt qua bảo mật Android
Mirax không phải là dịch vụ MaaS Android duy nhất được phát hiện trong những tháng gần đây. Một trojan truy cập từ xa Android mới có tên Oblivion đang được bán với giá khoảng 300 USD mỗi tháng (hoặc 1.900 USD mỗi năm và 2.200 USD cho quyền truy cập trọn đời) và tuyên bố vượt qua các tính năng phát hiện và bảo mật trên các thiết bị từ các nhà sản xuất lớn.
Sau khi cài đặt, mã độc này sử dụng cơ chế cấp quyền tự động mà không yêu cầu tương tác từ nạn nhân. Cách tiếp cận này, theo người bán, hoạt động trên MIUI / HyperOS (Xiaomi), One UI (Samsung), ColorOS (OPPO), MagicOS (Honor) và OxygenOS (OnePlus).
"Điều làm nên sự khác biệt của nó không phải là một tính năng duy nhất. Đó là sự kết hợp: bỏ qua quyền tự động, điều khiển từ xa ẩn, duy trì sâu và một công cụ xây dựng 'point-and-click' giúp tất cả những điều đó nằm trong tầm với của những tin tặc tiềm năng ngay cả với kỹ năng kỹ thuật tối thiểu," Certos cho biết.
"Google đã đưa ra các hạn chế tiến bộ về việc lạm dụng dịch vụ trợ năng trên các phiên bản Android liên tiếp. Một công cụ thực sự vượt qua các biện độ bảo vệ đó trên bản phát hành mới nhất – và làm như vậy trên các thiết bị của Samsung, Xiaomi, OPPO và các hãng khác – đại diện cho một thách thức thực sự đối với các biện pháp phòng thủ cấp nền tảng."
SURXRAT – Mã độc tích hợp AI và khả năng ransomware
Cũng được phân phối thương mại thông qua một hệ sinh thái MaaS dựa trên Telegram là một họ mã độc Android có tên SURXRAT, được đánh giá là một phiên bản cải tiến của Arsink. Mã độc này lạm dụng quyền trợ năng để kiểm soát liên tục và giao tiếp với cơ sở hạ tầng C2 dựa trên Firebase để chiếm quyền điều khiển các thiết bị bị nhiễm. Mã độc được rao bán trên một kênh Telegram do một kẻ tấn công người Indonesia quản lý.
Điều đáng chú ý về một số mẫu mới là sự hiện diện của một thành phần large language model (LLM), cho thấy rằng các kẻ tấn công đứng sau mã độc đang thử nghiệm với các khả năng artificial intelligence (AI), cùng với các chức năng giám sát truyền thống. Tuy nhiên, việc tải xuống mô-đun LLM chỉ được kích hoạt khi các ứng dụng trò chơi cụ thể đang hoạt động trên thiết bị của nạn nhân, hoặc khi nó nhận được các tên gói mục tiêu thay thế một cách động từ máy chủ -
- Free Fire MAX x JUJUTSU KAISEN (com.dts.freefiremax)
- Free Fire x JUJUTSU KAISEN (com.dts.freefireth)
Một số mẫu SURXRAT chọn lọc cũng tích hợp một mô-đun khóa màn hình kiểu ransomware, cho phép một nhà điều hành từ xa chiếm quyền kiểm soát thiết bị của nạn nhân và từ chối truy cập bằng cách hiển thị thông báo khóa toàn màn hình cho đến khi thực hiện thanh toán.
"Sự phát triển này cho thấy các khung RAT Android hiện có tiếp tục được các kẻ tấn công tái sử dụng và mở rộng như thế nào, đẩy nhanh chu kỳ phát triển mã độc và cho phép nhanh chóng giới thiệu các chức năng giám sát và kiểm soát mới," Cyble nói. "Việc thử nghiệm tích hợp mô hình AI lớn được quan sát thấy còn cho thấy rằng các kẻ tấn công đang tích cực khám phá các công nghệ mới nổi để nâng cao hiệu quả hoạt động và né tránh phát hiện."
