Thriuenug
VIP Members
-
29/08/2019
-
21
-
43 bài viết
Vụ mất 6.1 tỷ đồng: biến thể mã độc của chiến dịch VN84App
“Cuối tháng 1/2021 Công an quận Đống Đa cho biết, theo khai báo, chị Minh nhận được cuộc điện thoại số lạ từ người xưng danh cán bộ điều tra. Người này thông báo đang điều tra vụ án ma tuý liên quan chị Minh và yêu cầu kê khai số tiền trong các tài khoản ngân hàng. "Cán bộ điều tra" sau đó yêu cầu nạn nhân thay đổi điện thoại đang dùng sang sử dụng điện thoại sử dụng hệ điều hành Android
Lấy lý do "bảo mật thông tin tài khoản", "cán bộ điều tra" đề nghị chị Minh tải và cài đặt ứng dụng mang tên "Bộ Công an" (vn84app.apk) hiển thị phù hiệu công an. Sau khi cài đặt app mang tên "Bộ Công an" thành công, chị Minh tiếp tục làm theo hướng dẫn để điền tên đăng nhập, mật khẩu, tài khoản ngân hàng, họ tên, số chứng minh nhân dân (căn cước công dân)...
Vừa hoàn tất đăng nhập các thông tin cá nhân và mã OTP tài khoản ngân hàng, chị Minh phát hiện bị rút trộm 6,1 tỷ đồng trong tài khoản”
Phần mềm VN84App thì là ứng dụng gián điệp đã được Bkav cảnh báo vào tháng 5/2020. Chi tiết bài nghiên cứu tại đây.
Rất lạ là sao vụ VN84App đa được cảnh báo từ rất lâu, từ tháng 6/2020 mà giờ vẫn có người dính, tôi thử kiểm tra xem thực hư thế nào.
Cụ thể tôi cũng đưa ra 3 hướng điều tra:
- Domain sử dụng để Phishing
- Phần mềm gián điệp VN84App
- C&C Server (Server điều khiển)
1. Domain sử dụng để phishing
Tôi đã thực hiện kiểm tra với các domain cũ thì hầu hết đã bị chặn hoặc trình duyệt cảnh báo phishing, có lẽ đây là kết quả sau khi Bkav phối hợp với Công An và Cục ATT cảnh báo, xử lý.
Hình ảnh: Danh sách domain phishing
Hình ảnh: Cảnh báo của trình duyệt
Từ một số thông tin thu thập, tôi tìm kiếm được domain conganhanoivn.com, khi mang lên VirusTotal check xác nhận đây là domain phishing và biết được IP cùng một vài thông tin có giá trị.
Chưa có nhiều thông tin nhưng theo cảm quan tôi nghĩ sẽ thu thập được nhiều thứ từ thông tin trên. Mang IP vào Tool Nmap quét, kết quả trả về có các cổng dịch vụ đang mở, tôi mò mẫm và thật mừng khi đã tìm thấy đã truy cập được vào địa chỉ Phishing và tải được phần mềm VN84App.apk phiên bản mới.
2. Phân tích phần mềm gián điệp VN84App
Khi có được phần mềm, tôi liền đưa lên Virustotal. Sau khi check, phần mềm VN84App này được build ngày 29/12/2020 và cũng được nhiều phần mềm diệt virus phát hiện là malware.
Hình ảnh: Nhận diện VN84App là mã độc trên Virustotal
Sau khi cài đặt xong, VN84App có giao diện y hệt website và yêu cầu các quyền trên điện thoại. Nếu ai để ý dễ dàng nhận ra điều bất thường trong đây khi phần mềm yêu cầu quá nhiều quyền truy cập.
Hình ảnh: Quyền và giao chính phần mềm
Thực hiện dịch ngược file VN84App.apk, mở file Manifest để xem những quyền mà phần mềm yêu cầu. Quyền mà ứng dụng yêu cầu khi cài đặt phần mềm vẫn như cũ.
Hình ảnh: Quyền truy cập thiết bị của VN84App
Có lẽ sau khi có bài phân tích trước đây về VN84App, kẻ tấn công lần này đã sử dụng kỹ thuật làm rối để gây khó khăn hơn trong việc dịch ngược và phân tích app.
Tìm trong file Client.xml thấy có kết nối đến Server để gửi, nhận thông tin
Hình ảnh: IP Server điều khiển
Thông tin mà phần mềm thu thập: Số điện thoại, danh bạ, IMEI, tin nhắn đến, đi và tin nhắn lỗi và tin nháp. Phần mềm có các tính năng: đọc, gửi, xóa tin nhắn, thực hiện các cuộc gọi hoặc định vị vị trí người dùng… giống với phiên bản cũ.
3. C&C Server (Server điều khiển)
Qua kiểm tra VN84App có kết nối tới các IP C&C như 98.126.156.83 và 160.124.255.94
Hình ảnh: IP server điều khiển
Các IP trên, tiếp tục sử dụng Nmap, kết quả là IP trên đang mở đang mở dịch vụ các cổng dịch vụ: 80, 2002, … Truy cập vào thì có giao diện chữ Trung Quốc
Hình ảnh: C&C Server
Kết luận chung:
Kịch bản phishing không thay đổi: Giả mạo công an lừa người dùng cài đặt phần mềm gián điệp để thu thập thông tin và chiếm đoạt tài khoản ngân hàng.
Ứng dụng VN84App đã có sự thay đổi để không bị nhận diện với mẫu cũ, đã tinh vi hơn khi sử dụng kỹ thuật làm khó quá trình phân tích ứng dụng.
Website phishing đã được thay đổi domain và IP để tránh cảnh báo nhận diện phishing của trình duyệt như tên miền cũ.
Các C&C Server đã được kẻ tấn công để ý hơn, tinh vi hơn, không chìa giao diện ra để có thể tiến hành điều tra sâu hơn.
Khuyến cáo:
Lấy lý do "bảo mật thông tin tài khoản", "cán bộ điều tra" đề nghị chị Minh tải và cài đặt ứng dụng mang tên "Bộ Công an" (vn84app.apk) hiển thị phù hiệu công an. Sau khi cài đặt app mang tên "Bộ Công an" thành công, chị Minh tiếp tục làm theo hướng dẫn để điền tên đăng nhập, mật khẩu, tài khoản ngân hàng, họ tên, số chứng minh nhân dân (căn cước công dân)...
Vừa hoàn tất đăng nhập các thông tin cá nhân và mã OTP tài khoản ngân hàng, chị Minh phát hiện bị rút trộm 6,1 tỷ đồng trong tài khoản”
Phần mềm VN84App thì là ứng dụng gián điệp đã được Bkav cảnh báo vào tháng 5/2020. Chi tiết bài nghiên cứu tại đây.
Rất lạ là sao vụ VN84App đa được cảnh báo từ rất lâu, từ tháng 6/2020 mà giờ vẫn có người dính, tôi thử kiểm tra xem thực hư thế nào.
Cụ thể tôi cũng đưa ra 3 hướng điều tra:
- Domain sử dụng để Phishing
- Phần mềm gián điệp VN84App
- C&C Server (Server điều khiển)
1. Domain sử dụng để phishing
Tôi đã thực hiện kiểm tra với các domain cũ thì hầu hết đã bị chặn hoặc trình duyệt cảnh báo phishing, có lẽ đây là kết quả sau khi Bkav phối hợp với Công An và Cục ATT cảnh báo, xử lý.
Hình ảnh: Danh sách domain phishing
Hình ảnh: Cảnh báo của trình duyệt
Từ một số thông tin thu thập, tôi tìm kiếm được domain conganhanoivn.com, khi mang lên VirusTotal check xác nhận đây là domain phishing và biết được IP cùng một vài thông tin có giá trị.
Chưa có nhiều thông tin nhưng theo cảm quan tôi nghĩ sẽ thu thập được nhiều thứ từ thông tin trên. Mang IP vào Tool Nmap quét, kết quả trả về có các cổng dịch vụ đang mở, tôi mò mẫm và thật mừng khi đã tìm thấy đã truy cập được vào địa chỉ Phishing và tải được phần mềm VN84App.apk phiên bản mới.
2. Phân tích phần mềm gián điệp VN84App
Khi có được phần mềm, tôi liền đưa lên Virustotal. Sau khi check, phần mềm VN84App này được build ngày 29/12/2020 và cũng được nhiều phần mềm diệt virus phát hiện là malware.
Hình ảnh: Nhận diện VN84App là mã độc trên Virustotal
Sau khi cài đặt xong, VN84App có giao diện y hệt website và yêu cầu các quyền trên điện thoại. Nếu ai để ý dễ dàng nhận ra điều bất thường trong đây khi phần mềm yêu cầu quá nhiều quyền truy cập.
Hình ảnh: Quyền và giao chính phần mềm
Thực hiện dịch ngược file VN84App.apk, mở file Manifest để xem những quyền mà phần mềm yêu cầu. Quyền mà ứng dụng yêu cầu khi cài đặt phần mềm vẫn như cũ.
Hình ảnh: Quyền truy cập thiết bị của VN84App
Có lẽ sau khi có bài phân tích trước đây về VN84App, kẻ tấn công lần này đã sử dụng kỹ thuật làm rối để gây khó khăn hơn trong việc dịch ngược và phân tích app.
Tìm trong file Client.xml thấy có kết nối đến Server để gửi, nhận thông tin
Hình ảnh: IP Server điều khiển
3. C&C Server (Server điều khiển)
Qua kiểm tra VN84App có kết nối tới các IP C&C như 98.126.156.83 và 160.124.255.94
Hình ảnh: IP server điều khiển
Các IP trên, tiếp tục sử dụng Nmap, kết quả là IP trên đang mở đang mở dịch vụ các cổng dịch vụ: 80, 2002, … Truy cập vào thì có giao diện chữ Trung Quốc
Hình ảnh: C&C Server
Kết luận chung:
Kịch bản phishing không thay đổi: Giả mạo công an lừa người dùng cài đặt phần mềm gián điệp để thu thập thông tin và chiếm đoạt tài khoản ngân hàng.
Ứng dụng VN84App đã có sự thay đổi để không bị nhận diện với mẫu cũ, đã tinh vi hơn khi sử dụng kỹ thuật làm khó quá trình phân tích ứng dụng.
Website phishing đã được thay đổi domain và IP để tránh cảnh báo nhận diện phishing của trình duyệt như tên miền cũ.
Các C&C Server đã được kẻ tấn công để ý hơn, tinh vi hơn, không chìa giao diện ra để có thể tiến hành điều tra sâu hơn.
Khuyến cáo:
- Cần nâng cao cảnh giác trước các cuộc gọi lạ có liên quan tới cơ quan chức năng mà không chắc chắn về nguồn gốc, không vội vàng làm theo các yêu cầu, hướng dẫn, dứt khoát từ chối làm việc qua điện thoại.
- Cài đặt các phần mềm diệt virus để phát hiện kịp thời với các phần mềm độc hại.
- Không nên tải, cài đặt các phần mềm trên điện thoại tại các nguồn xuất xứ không rõ ràng
- Khi phát hiện phần mềm độc hại, các trang web giả mạo cần thông báo với cơ quan chức năng và cảnh báo mọi người xung quanh cảnh giác.