Từ các ứng dụng có chức năng thật nhưng chứa mã độc đến thẻ thanh toán giả mạo — tội phạm mạng nhắm vào Android OS đang ngày càng sáng tạo

Những kẻ tấn công mạng nhắm vào người dùng di động thường hướng đến thông tin cá nhân hoặc tiền của nạn nhân.

Từ các ứng dụng nhắn tin giả mạo, bộ công cụ giúp đơn giản hóa việc tạo ra các chiến dịch lừa đảo, cho đến những phần mềm độc hại lợi dụng độ phổ biến của các ứng dụng trò chơi — các mối đe dọa nhắm vào người dùng di động đang xuất hiện dưới nhiều hình thức và liên tục biến đổi.
Hãy xem danh sách các chiến dịch mã độc di động gần đây được các nhà nghiên cứu ESET phát hiện, tất cả đều nhắm vào hệ điều hành Android, để nhận biết rõ hơn các mối đe dọa này trông như thế nào.
Nếu bạn muốn bảo vệ thiết bị di động của mình khỏi những cuộc tấn công như vậy, hãy thử ESET Mobile Security.

 

Chiến dịch gián điệp StrongPity

Đầu năm 2023, các nhà nghiên cứu ESET đã công bố một bài blog về StrongPity — một chiến dịch phần mềm độc hại phát tán phiên bản bị cài trojan của ứng dụng Telegram Android nổi tiếng. Ứng dụng này được đóng gói lại và được giới thiệu như ứng dụng “chính thức” của dịch vụ trò chuyện video Shagle, mặc dù Shagle không hề có ứng dụng chính thức nào. Ứng dụng giả này sau đó được phân phối thông qua một trang web giả mạo của Shagle.

Ảnh 1. So sánh trang web hợp pháp ở bên trái và bắt chước ở bên phải

Cuối cùng, tội phạm mạng đã lợi dụng độ nổi tiếng của Shagle — dịch vụ có tới 2,5 triệu người dùng hoạt động — để phát tán phần mềm độc hại này cùng nhiều tính năng gián điệp khác nhau, bao gồm 11 chức năng cho phép ghi âm cuộc gọi, thu thập tin nhắn SMS, nhật ký cuộc gọi, danh bạ, và nhiều dữ liệu khác.
Nếu nạn nhân cấp quyền truy cập dịch vụ hỗ trợ tiếp cận (accessibility services) cho ứng dụng StrongPity độc hại, nó cũng có thể theo dõi thông báo đến và đánh cắp dữ liệu liên lạc từ 17 ứng dụng khác như Viber, Skype, Gmail, Messenger hoặc Tinder.

 

Chiến dịch Transparent Tribe

Tháng 3 năm 2023, ESET công bố nghiên cứu về một chiến dịch gián điệp mạng phân phối cửa hậu CapraRAT thông qua các ứng dụng nhắn tin Android bị trojan hóa và giả mạo là ứng dụng bảo mật. Các ứng dụng này còn truy cập và đánh cắp thông tin nhạy cảm.
Nạn nhân nhiều khả năng bị dụ dỗ thông qua các chiêu trò lừa đảo tình cảm (honey-trap) — ban đầu họ được liên hệ trên một nền tảng khác, sau đó bị thuyết phục sử dụng “ứng dụng an toàn hơn” để nhắn tin, rồi vô tình cài đặt phần mềm độc hại.

Ảnh  2. Website phân phối CapraRAT đóng giả MeetUp

Sau khi nạn nhân đăng nhập vào ứng dụng, CapraRAT bắt đầu tương tác với máy chủ điều khiển của kẻ tấn công, gửi thông tin cơ bản về thiết bị và chờ lệnh điều khiển để thực thi.
Dựa trên các lệnh đó, CapraRAT có thể đánh cắp nhật ký cuộc gọi, danh bạ, tin nhắn SMS, ghi âm cuộc gọi, ghi âm âm thanh xung quanh, chụp ảnh màn hình và ảnh từ camera, cùng nhiều loại dữ liệu khác.
Nó cũng có thể nhận lệnh tải xuống tệp, khởi chạy ứng dụng, dừng tiến trình đang chạy, thực hiện cuộc gọi, gửi hoặc chặn tin nhắn SMS, và tải xuống bản cập nhật, yêu cầu nạn nhân cài đặt.

 

Nhắn tin không còn riêng tư nữa

Đầu năm 2023, các nhà nghiên cứu ESET phát hiện hàng chục trang web giả mạo Telegram và WhatsApp, chủ yếu nhắm vào người dùng Android và Windows bằng cách phát tán phiên bản trojan của các ứng dụng nhắn tin này.

Ảnh  3. Sơ đồ phân phối của các ứng dụng nhắn tin trojan

Phần lớn các ứng dụng độc hại được ESET phát hiện là clippers — loại phần mềm độc hại đánh cắp hoặc chỉnh sửa nội dung trong bộ nhớ tạm (clipboard). Một số ứng dụng thậm chí sử dụng công nghệ nhận dạng ký tự quang học (OCR) để đọc văn bản từ ảnh chụp màn hình lưu trên thiết bị bị xâm nhập. Tất cả những ứng dụng này đều nhắm vào tài sản tiền điện tử của nạn nhân, với nhiều ứng dụng hướng đến ví tiền mã hóa (cryptocurrency wallets).

 

Android GravityRAT

Tháng 6 năm 2023, ESET công bố nghiên cứu về phần mềm gián điệp GravityRAT dành cho Android.
Mã độc này được phát tán thông qua các ứng dụng nhắn tin giả nhưng hoạt động bình thường có tên BingeChat và Chatico — cả hai đều được phát triển dựa trên ứng dụng nhắn tin mã hóa OMEMO Instant Messenger.

Ảnh  4. Trang web phân phối của ứng dụng nhắn tin BingeChat độc hại

Phần mềm gián điệp này có khả năng đánh cắp nhật ký cuộc gọi, danh bạ, tin nhắn SMS, vị trí thiết bị, thông tin cơ bản về thiết bị, và các tệp có phần mở rộng cụ thể như jpg, png, txt, pdf, v.v. GravityRAT cũng có thể truy cập và lấy cắp bản sao lưu WhatsApp, đồng thời nhận lệnh xóa tệp từ máy chủ điều khiển.

 

SpinOk

Nửa sau năm 2023, hệ thống telemetry của ESET phát hiện tăng 89% trong các phát hiện mã độc Android, chủ yếu do một bộ công cụ phát triển phần mềm (SDK) dành cho marketing trên di động — một “hộp công cụ” số — mà ESET xác định là SpinOk Spyware. Bộ công cụ này được chào như một nền tảng chơi game và đã được tích hợp vào nhiều ứng dụng Android hợp pháp, kể cả những ứng dụng có trên các chợ ứng dụng chính thức.

Khi một ứng dụng chứa bộ công cụ SpinOK được cài đặt, nó hoạt động như phần mềm gián điệp, kết nối tới máy chủ chỉ huy và điều khiển (C2) của tội phạm và đánh cắp nhiều loại dữ liệu từ thiết bị, bao gồm cả nội dung clipboard (bộ nhớ tạm) nhạy cảm.

Ảnh 5:  Xu hướng phát hiện Android/SpinOK trong nửa sau 2023, trung bình động 7 ngày

Telekopye

Năm 2023, các nhà nghiên cứu ESET phát hiện mã nguồn của một bộ công cụ giúp các nhóm lừa đảo có tổ chức dễ dàng thực hiện chiêu trò mua bán trực tuyến mà không cần quá giỏi về CNTT. Bộ công cụ, mà ESET đặt tên là Telekopye, tạo các trang web phishing từ các mẫu có sẵn, tạo email và tin nhắn SMS phishing, và gửi chúng tới người dùng mục tiêu.

Ảnh  6. Ảnh chụp màn hình giả được tạo (mẫu bên trái, mẫu đã điền văn bản mẫu bên phải)

Đầu tiên, kẻ tấn công tìm nạn nhân, rồi cố gắng xây dựng lòng tin để nạn nhân rơi vào bẫy — có thể là lừa mua hàng, lừa bán hoặc lừa hoàn tiền. Khi tin rằng nạn nhân đã đủ tin tưởng, họ sử dụng Telekopye để tạo một trang phishing từ mẫu có sẵn và gửi URL đó cho nạn nhân. Ví dụ, kẻ tấn công lừa nạn nhân mua một món hàng không tồn tại rồi gửi cho họ một liên kết tới trang phishing giả giống trang thanh toán của chợ trực tuyến thật nơi mặt hàng đó được rao bán.

Sau khi nạn nhân nhập thông tin thẻ vào trang này, kẻ tấn công dùng dữ liệu thẻ để rút tiền của nạn nhân.

 

Kamran

Cuối năm 2023, các nhà nghiên cứu ESET xác định một khả năng tấn công “watering-hole” trên một trang tin khu vực đưa tin về Gilgit-Baltistan, vùng tranh chấp do Pakistan quản lý. Khi mở trên thiết bị di động, phiên bản tiếng Urdu của trang Hunza News cho người đọc khả năng tải ứng dụng Hunza News cho Android trực tiếp từ trang web; tuy nhiên, ứng dụng này lại chứa khả năng độc hại, cụ thể là chức năng gián điệp.

Kamran hiển thị nội dung trang Hunza News và chứa mã độc tùy chỉnh. Sau khi khởi chạy, Kamran yêu cầu người dùng cấp quyền truy cập các dữ liệu khác nhau trên thiết bị. Nếu người dùng đồng ý, mã độc Kamran sẽ tự động thu thập dữ liệu nhạy cảm, bao gồm tin nhắn SMS, danh bạ, nhật ký cuộc gọi, sự kiện lịch, vị trí thiết bị, danh sách ứng dụng đã cài, tin nhắn SMS đến, thông tin thiết bị và hình ảnh.

Ảnh 7:  Phiên bản tiếng Anh (trái) và tiếng Urdu (phải) của Hunza News hiển thị trên thiết bị di động

 

EvilVideo

Các nhà nghiên cứu ESET phát hiện một lỗ hổng zero-day nhắm vào Telegram cho Android, và lỗ hổng này được rao bán với giá không được tiết lộ trên một diễn đàn ngầm vào ngày 6 tháng 6 năm 2024. Bằng cách khai thác lỗ hổng mà các nhà nghiên cứu đặt tên là EvilVideo, kẻ tấn công có thể chia sẻ nội dung Android độc hại qua các kênh, nhóm và chat trên Telegram, làm chúng xuất hiện như các tệp đa phương tiện. Lỗ hổng chỉ hoạt động trên các phiên bản Telegram cho Android 10.14.4 và cũ hơn. Sau khi ESET tiếp cận Telegram, họ đã khắc phục vấn đề.

Lỗ hổng dường như dựa vào việc kẻ tấn công tạo một payload độc hại (nội dung) hiển thị một ứng dụng Android như một bản xem trước đa phương tiện. Khi chia sẻ trong một cuộc trò chuyện, payload xuất hiện như một video dài 30 giây. Vì các tệp media nhận qua Telegram thường được đặt ở chế độ tự động tải về theo mặc định, nên người dùng có bật tùy chọn này sẽ tự động tải payload độc hại khi mở cuộc trò chuyện chứa nội dung đó. Tùy chọn này có thể tắt thủ công; trong trường hợp tắt, payload vẫn có thể được tải xuống bằng cách chạm vào nút tải ở góc trên trái của “video” được chia sẻ.

 

Mối đe dọa nhắm vào người chơi Hamster Kombat

Giữa năm 2024, các nhà nghiên cứu ESET phát hiện và phân tích hai mối đe dọa lợi dụng thành công của Hamster Kombat — một trò chơi clicker trong Telegram, nơi người chơi kiếm tiền ảo bằng cách hoàn thành nhiệm vụ đơn giản và được khuyến khích đăng nhập hàng ngày.

Mối đe dọa đầu tiên là một ứng dụng giả mạo, không hoạt động nhưng độc hại, trông giống Hamster Kombat và chứa phần mềm gián điệp Ratel Android có khả năng đánh cắp thông báo và gửi tin nhắn SMS. Kẻ điều khiển mã độc dùng tính năng này để mua các gói đăng ký và dịch vụ bằng tiền của nạn nhân mà nạn nhân không hề hay biết.

Ảnh 8. Yêu cầu quyền truy cập độc hại của Hamster Kombat giả

Mối đe dọa thứ hai là một tập hợp các trang web giả mạo mô phỏng cửa hàng ứng dụng tuyên bố có Hamster Kombat để tải về. Tuy nhiên, nhấn “Install” hoặc “Open” chỉ dẫn người dùng đến các quảng cáo không mong muốn.

 

Phishing trong ứng dụng PWA

Giữa năm 2024, ESET Research công bố bài blog về một loại chiến dịch phishing ít gặp nhắm vào người dùng di động của một ngân hàng lớn CH Czech. Kỹ thuật này đáng chú ý vì nó lợi dụng Progressive Web Application (PWA), cho phép cài đặt một ứng dụng phishing từ một trang web bên thứ ba mà người dùng không cần bật cài đặt ứng dụng bên thứ ba.

Nguồn ban đầu của chiến dịch này bao gồm các cuộc gọi thoại tự động, tin nhắn SMS và malvertising trên mạng xã hội, tất cả đều khuyến khích nạn nhân mở một URL phishing dẫn họ đến trang Google Play Store giả cho ứng dụng ngân hàng bị nhắm mục tiêu, hoặc một trang web giả mạo ứng dụng đó.

Ảnh 9. Ví dụ về quảng cáo độc hại được sử dụng trong các chiến dịch này

Sau khi truy cập các trang web giả này, người dùng Android thấy một quảng cáo bật lên dụ họ cài ứng dụng độc hại trông giống ứng dụng ngân hàng hợp lệ. Ứng dụng này thực chất được tạo bằng WebAPK, công nghệ cho phép tạo các ứng dụng web có thể cài đặt trên thiết bị Android như thể chúng là ứng dụng gốc hoặc hợp pháp. Điều này cho phép người dùng cài PWA lên màn hình chính Android mà không phải dùng Google Play Store.

 

NGate

Khi giám sát một chiến dịch lợi dụng PWA để đánh cắp thông tin đăng nhập ngân hàng từ nạn nhân ở Séc, các nhà nghiên cứu ESET phát hiện một cuộc tấn công thực sự mới liên quan đến chiến dịch trước đó. Tháng 8 năm 2024, ESET công bố một bài blog về cùng nhóm tội phạm đã cải tiến kỹ thuật để cho phép rút tiền trái phép từ tài khoản ngân hàng của khách hàng tại ba ngân hàng Séc.

Ảnh 10: Kiến trúc NFCGate (nguồn: https://github.com/nfcgate/nfcgate/wiki)

Đầu tiên, tội phạm mạng lừa nạn nhân tin rằng họ đang giao tiếp với ngân hàng và dụ họ tải và cài ứng dụng ngân hàng giả có chứa mã độc mà ESET đặt tên là NGate. Mã độc này sao chép dữ liệu NFC từ thẻ thanh toán của nạn nhân bằng NGate và gửi dữ liệu đó tới thiết bị của kẻ tấn công. Thiết bị đó sau đó có thể mô phỏng thẻ gốc và rút tiền tại ATM.

 

Nomani

Năm 2024, mạng xã hội xuất hiện một làn sóng quảng cáo lừa đảo mới rao bán “cơ hội đầu tư bí mật”, thực phẩm chức năng thần kỳ, và dịch vụ pháp lý hay hỗ trợ hành pháp.

Để làm cho những lời đề nghị này có vẻ đáng tin cậy, tội phạm lạm dụng thương hiệu của các doanh nghiệp địa phương và toàn cầu hoặc dùng video deepfake do AI tạo có gương mặt người nổi tiếng dường như đảm bảo tính hợp pháp của sản phẩm quảng cáo. Mục tiêu chính của bọn lừa là dẫn nạn nhân tới các trang web phishing và các biểu mẫu thu thập thông tin cá nhân.

 

Ghost Tap

Ngay sau khi ESET phát hiện phương thức tấn công mới – NGate sao chép dữ liệu NFC từ thẻ thanh toán nạn nhân, tội phạm mạng đã nâng cấp kỹ thuật này.

Bằng nhiều chiêu lừa phishing khác nhau, kẻ gian dụ nạn nhân tiết lộ thông tin thẻ cùng mã OTP dùng một lần để xác thực thẻ cho ví kỹ thuật số. Sau khi có được dữ liệu thẻ và mã, kẻ tấn công đăng ký các thông tin bị đánh cắp vào Apple Wallet hoặc Google Wallet của chúng, chuyển các ví đã nạp tiền này sang các thiết bị khác, và thực hiện các giao dịch không chạm (contactless) gian lận ở khắp nơi trên thế giới.

Ảnh 11:  Phân bố địa lý của mã độc và lừa đảo liên quan NFC trên Android trong nửa đầu 2025

 

 

Kết luận

Có hai bài học chính rút ra từ những trường hợp này:

Thứ nhất, như bạn thấy, một số cuộc tấn công mạng và chiến dịch lừa đảo có thể được phát hiện ngay lập tức nếu người dùng chú ý và có kiến thức cơ bản về an ninh. Các bài blog nghiên cứu, như những bài đã nêu ở trên, có thể là nguồn thông tin quý giá. Người dùng Android cập nhật thông tin về mã độc mới và các chiêu lừa nổi lên sẽ cải thiện nhận thức về rủi ro, giúp họ bảo vệ tốt hơn trước các mối đe dọa trực tuyến trong tương lai.

Thứ hai, một số chiến dịch độc hại lại tinh vi và khó nhận ra hơn. Hơn nữa, tội phạm mạng thường nhắm tới các nhóm dễ tổn thương, bao gồm trẻ em và người cao tuổi, những đối tượng có thể ít sẵn sàng đối phó với các mối nguy này. Trong mọi trường hợp, luôn tốt khi có một giải pháp an ninh mạng đáng tin cậy như ESET Mobile Security có khả năng phát hiện và vô hiệu hóa những mối đe dọa này — lý tưởng nhất là trước khi bất kỳ thiệt hại nào xảy ra đối với thiết bị hoặc dữ liệu của bạn.