-
09/04/2020
-
117
-
1.226 bài viết
Mã độc Android thế hệ mới khó phát hiện, chuyên gia cảnh báo rủi ro quy mô lớn
Một mã độc điều khiển từ xa (RAT) cho Android, tự nhận là không thể phát hiện, vừa được công khai trên GitHub và nhanh chóng thu hút sự chú ý của cộng đồng an ninh mạng. Theo tài liệu kèm theo, tác giả tuyên bố mã độc này vô cùng tinh vi, có thể né được nhiều cơ chế bảo vệ phổ biến trên các ROM tùy biến như MIUI và EMUI. Nếu những tuyên bố đó đúng, thì đây sẽ là một mối rủi ro quy mô lớn cho cả người dùng cá nhân lẫn tổ chức.
Chuỗi tấn công khởi động bằng một dropper nhiều lớp, phương thức phổ biến để đưa payload vào thiết bị thông qua APK được chỉnh sửa hoặc repackaged. Dropper có thể hoạt động như một downloader hoặc loader nhiều tầng, tải về và giải mã các thành phần tiếp theo chỉ khi điều kiện môi trường phù hợp. Cách tiếp cận này giúp tác giả giảm dấu vết tĩnh và tăng độ khó cho quá trình phân tích.
Khả năng né tránh được thiết kế theo nhiều hướng. Mẫu mã độc nắm bắt các biện pháp ngăn khởi động tự động, kiểm soát ứng dụng chạy nền và cơ chế tối ưu pin mà các ROM tùy biến đang áp dụng. Sau khi cài đặt, mã độc tự động kích hoạt chuỗi leo thang quyền, cố gắng cấp hoặc lợi dụng các quyền Accessibility, quyền hiển thị thông báo và quyền quản trị thiết bị để duy trì hoạt động mà không cần tương tác người dùng. Nhờ vậy, mô hình cấp quyền của người dùng bị yếu đi và mã độc có thể chạy ẩn ngay sau khi nhiễm.
Kênh chỉ huy điều khiển là một trụ cột trong thiết kế. Theo mô tả, mọi trao đổi giữa thiết bị bị nhiễm và C2 đều được mã hóa bằng AES-128-CBC với PKCS padding, nhằm chống lại phân tích lưu lượng ngay cả khi có thiết bị giám sát sâu. Cấu hình và địa chỉ C2 được che dấu để giảm nguy cơ bị lộ khi APK bị dịch ngược. Thêm vào đó, một module chống giả lập kiểm tra tham số phần cứng trước khi kích hoạt hành vi độc hại, nhằm tránh hoạt động trong môi trường sandbox mà các nhà phân tích thường sử dụng.
Về chức năng, mã độc này tích hợp những khả năng giám sát và trích xuất dữ liệu ở mức cao. Nó có thể đọc và xoá nhật ký cuộc gọi, đặt và chặn cuộc gọi, thao tác SMS bao gồm đọc mã OTP và mạo danh người gửi. Một keylogger thu thập mọi thao tác gõ phím nhằm nhắm tới thông tin đăng nhập trong ứng dụng ngân hàng, ví tiền điện tử và các dịch vụ gắn 2FA. Bộ tính năng trích xuất dữ liệu còn bao gồm chụp màn hình thời gian thực, truy cập camera trước và sau, ghi âm, quay video và thao tác clipboard để thay thế địa chỉ ví. Ngoài chức năng gián điệp, mã độc còn tích hợp module mã hoá tệp và khoá giao diện để tống tiền nạn nhân.
Theo chuyên gia WhiteHat: Nếu các tuyên bố về khả năng né phân tích và leo thang quyền được xác thực, mẫu RAT này không chỉ là một công cụ tinh vi mà còn đại diện cho một bước ngoặt nguy hiểm trong mối quan hệ giữa mã độc di động và cơ chế bảo vệ thiết bị. Đây là một công cụ có thể được tái sử dụng rộng rãi và tự động hóa cuộc tấn công, mở rộng quy mô thiệt hại chỉ với rất ít tương tác thủ công. Hậu quả thực tế sẽ phụ thuộc vào kênh phân phối, nhưng rủi ro đối với cả người dùng cá nhân và tổ chức là rõ ràng và cấp bách.
Kỹ thuật xã hội được tích hợp chặt chẽ với các phương pháp kỹ thuật. Kẻ tấn công sử dụng thông báo giả, trang đăng nhập clone và các lời nhắc giả mạo để thu thập thông tin đăng nhập trong thời gian thực. Những chiêu thức này tận dụng phản xạ của nạn nhân, giúp kẻ tấn công thu thập credential nhanh chóng và nâng cao hiệu quả chiến dịch trên cả mục tiêu cá nhân lẫn tổ chức.
Về khả năng ẩn mình và duy trì, mã độc chạy như một tiến trình nền rất nhẹ, tối ưu để tiêu thụ ít CPU và pin. Khi cần, nó chuyển sang chế độ “freeze” để cắt giảm lưu lượng mạng xuống mức rất thấp. Kẻ tấn công còn ẩn biểu tượng, lập lịch tác vụ với độ trễ cao và dùng hộp thoại hệ thống giả hoặc thủ thuật ép ứng dụng được bảo vệ ngừng phản hồi, từ đó vô hiệu hóa các giải pháp như Play Protect và kéo dài thời gian tồn tại trên thiết bị. Giao diện điều khiển chạy hoàn toàn trên trình duyệt, cho phép thao tác từ xa mà không cần thiết lập hạ tầng phức tạp.
Chuyên gia WhiteHat nhận định, điểm nguy hiểm nhất của mẫu RAT này nằm ở sự kết hợp giữa cơ chế né phân tích và khả năng tự động leo thang quyền. Điều này giúp kẻ tấn công triển khai chiến dịch với ít can thiệp thủ công và khó bị phát hiện bằng các biện pháp dựa trên chữ ký. Thêm vào đó, việc bộ công cụ được công khai trên kho mã nguồn mở khiến ngay cả những kẻ tấn công ít kinh nghiệm cũng có thể khai thác, dẫn tới gia tăng các chiến dịch lừa đảo, gián điệp và tống tiền. Khi mã độc trở nên phổ biến, phạm vi ảnh hưởng mở rộng từ người dùng cá nhân tới doanh nghiệp, tạo áp lực lớn cho quản trị viên và đội ứng cứu.
Trước tình hình đó, các biện pháp phòng ngừa cần được triển khai đồng bộ. Doanh nghiệp nên chặn sideload, kiểm soát cài ứng dụng qua chính sách MDM, giám sát hành vi ứng dụng và lưu lượng mạng để phát hiện bất thường và ưu tiên phát hiện dựa trên hành vi thay vì chỉ dựa trên chữ ký. Người dùng cần cảnh giác khi cài APK từ nguồn không chính thức, kiểm tra quyền yêu cầu không phù hợp với chức năng ứng dụng và cập nhật hệ điều hành cùng giải pháp bảo mật thường xuyên.
Sự xuất hiện công khai của mẫu RAT này cảnh báo hai thực tế: kho mã mở vừa là nguồn lực cho đổi mới, vừa có thể bị lợi dụng để phát tán công cụ nguy hiểm. Đồng thời, các biện pháp phòng thủ truyền thống dựa trên chữ ký không còn đủ để bảo vệ người dùng và doanh nghiệp. Cộng đồng an ninh và nền tảng lưu trữ mã nguồn cần phối hợp chặt chẽ để rà soát và loại bỏ dự án mang tính vũ khí hóa, đồng thời đẩy mạnh các phương pháp phát hiện hành vi và nâng cao nhận thức người dùng nhằm giảm thiểu rủi ro.
Chuỗi tấn công khởi động bằng một dropper nhiều lớp, phương thức phổ biến để đưa payload vào thiết bị thông qua APK được chỉnh sửa hoặc repackaged. Dropper có thể hoạt động như một downloader hoặc loader nhiều tầng, tải về và giải mã các thành phần tiếp theo chỉ khi điều kiện môi trường phù hợp. Cách tiếp cận này giúp tác giả giảm dấu vết tĩnh và tăng độ khó cho quá trình phân tích.
Khả năng né tránh được thiết kế theo nhiều hướng. Mẫu mã độc nắm bắt các biện pháp ngăn khởi động tự động, kiểm soát ứng dụng chạy nền và cơ chế tối ưu pin mà các ROM tùy biến đang áp dụng. Sau khi cài đặt, mã độc tự động kích hoạt chuỗi leo thang quyền, cố gắng cấp hoặc lợi dụng các quyền Accessibility, quyền hiển thị thông báo và quyền quản trị thiết bị để duy trì hoạt động mà không cần tương tác người dùng. Nhờ vậy, mô hình cấp quyền của người dùng bị yếu đi và mã độc có thể chạy ẩn ngay sau khi nhiễm.
Kênh chỉ huy điều khiển là một trụ cột trong thiết kế. Theo mô tả, mọi trao đổi giữa thiết bị bị nhiễm và C2 đều được mã hóa bằng AES-128-CBC với PKCS padding, nhằm chống lại phân tích lưu lượng ngay cả khi có thiết bị giám sát sâu. Cấu hình và địa chỉ C2 được che dấu để giảm nguy cơ bị lộ khi APK bị dịch ngược. Thêm vào đó, một module chống giả lập kiểm tra tham số phần cứng trước khi kích hoạt hành vi độc hại, nhằm tránh hoạt động trong môi trường sandbox mà các nhà phân tích thường sử dụng.
Về chức năng, mã độc này tích hợp những khả năng giám sát và trích xuất dữ liệu ở mức cao. Nó có thể đọc và xoá nhật ký cuộc gọi, đặt và chặn cuộc gọi, thao tác SMS bao gồm đọc mã OTP và mạo danh người gửi. Một keylogger thu thập mọi thao tác gõ phím nhằm nhắm tới thông tin đăng nhập trong ứng dụng ngân hàng, ví tiền điện tử và các dịch vụ gắn 2FA. Bộ tính năng trích xuất dữ liệu còn bao gồm chụp màn hình thời gian thực, truy cập camera trước và sau, ghi âm, quay video và thao tác clipboard để thay thế địa chỉ ví. Ngoài chức năng gián điệp, mã độc còn tích hợp module mã hoá tệp và khoá giao diện để tống tiền nạn nhân.
Theo chuyên gia WhiteHat: Nếu các tuyên bố về khả năng né phân tích và leo thang quyền được xác thực, mẫu RAT này không chỉ là một công cụ tinh vi mà còn đại diện cho một bước ngoặt nguy hiểm trong mối quan hệ giữa mã độc di động và cơ chế bảo vệ thiết bị. Đây là một công cụ có thể được tái sử dụng rộng rãi và tự động hóa cuộc tấn công, mở rộng quy mô thiệt hại chỉ với rất ít tương tác thủ công. Hậu quả thực tế sẽ phụ thuộc vào kênh phân phối, nhưng rủi ro đối với cả người dùng cá nhân và tổ chức là rõ ràng và cấp bách.
Kỹ thuật xã hội được tích hợp chặt chẽ với các phương pháp kỹ thuật. Kẻ tấn công sử dụng thông báo giả, trang đăng nhập clone và các lời nhắc giả mạo để thu thập thông tin đăng nhập trong thời gian thực. Những chiêu thức này tận dụng phản xạ của nạn nhân, giúp kẻ tấn công thu thập credential nhanh chóng và nâng cao hiệu quả chiến dịch trên cả mục tiêu cá nhân lẫn tổ chức.
Về khả năng ẩn mình và duy trì, mã độc chạy như một tiến trình nền rất nhẹ, tối ưu để tiêu thụ ít CPU và pin. Khi cần, nó chuyển sang chế độ “freeze” để cắt giảm lưu lượng mạng xuống mức rất thấp. Kẻ tấn công còn ẩn biểu tượng, lập lịch tác vụ với độ trễ cao và dùng hộp thoại hệ thống giả hoặc thủ thuật ép ứng dụng được bảo vệ ngừng phản hồi, từ đó vô hiệu hóa các giải pháp như Play Protect và kéo dài thời gian tồn tại trên thiết bị. Giao diện điều khiển chạy hoàn toàn trên trình duyệt, cho phép thao tác từ xa mà không cần thiết lập hạ tầng phức tạp.
Chuyên gia WhiteHat nhận định, điểm nguy hiểm nhất của mẫu RAT này nằm ở sự kết hợp giữa cơ chế né phân tích và khả năng tự động leo thang quyền. Điều này giúp kẻ tấn công triển khai chiến dịch với ít can thiệp thủ công và khó bị phát hiện bằng các biện pháp dựa trên chữ ký. Thêm vào đó, việc bộ công cụ được công khai trên kho mã nguồn mở khiến ngay cả những kẻ tấn công ít kinh nghiệm cũng có thể khai thác, dẫn tới gia tăng các chiến dịch lừa đảo, gián điệp và tống tiền. Khi mã độc trở nên phổ biến, phạm vi ảnh hưởng mở rộng từ người dùng cá nhân tới doanh nghiệp, tạo áp lực lớn cho quản trị viên và đội ứng cứu.
Trước tình hình đó, các biện pháp phòng ngừa cần được triển khai đồng bộ. Doanh nghiệp nên chặn sideload, kiểm soát cài ứng dụng qua chính sách MDM, giám sát hành vi ứng dụng và lưu lượng mạng để phát hiện bất thường và ưu tiên phát hiện dựa trên hành vi thay vì chỉ dựa trên chữ ký. Người dùng cần cảnh giác khi cài APK từ nguồn không chính thức, kiểm tra quyền yêu cầu không phù hợp với chức năng ứng dụng và cập nhật hệ điều hành cùng giải pháp bảo mật thường xuyên.
Sự xuất hiện công khai của mẫu RAT này cảnh báo hai thực tế: kho mã mở vừa là nguồn lực cho đổi mới, vừa có thể bị lợi dụng để phát tán công cụ nguy hiểm. Đồng thời, các biện pháp phòng thủ truyền thống dựa trên chữ ký không còn đủ để bảo vệ người dùng và doanh nghiệp. Cộng đồng an ninh và nền tảng lưu trữ mã nguồn cần phối hợp chặt chẽ để rà soát và loại bỏ dự án mang tính vũ khí hóa, đồng thời đẩy mạnh các phương pháp phát hiện hành vi và nâng cao nhận thức người dùng nhằm giảm thiểu rủi ro.
Theo Cyber Press