Một chiến dịch phát tán mã độc có chủ đích đang nhắm vào người dùng Android tại Việt Nam, với dấu vết rõ ràng liên quan đến nhóm tin tặc đến từ Trung Quốc. Mục tiêu của cuộc tấn công là đánh cắp dữ liệu cá nhân, tài khoản ngân hàng và chiếm quyền kiểm soát thiết bị từ xa.
Ứng dụng giả mạo ngân hàng, cơ quan nhà nước
Theo Trung tâm phân tích mã độc của Bkav, mã độc có tên RedHook được phát tán dưới hình thức các ứng dụng giả mạo mang tên giống với các tổ chức uy tín tại Việt Nam như:
- Ngân hàng Nhà nước Việt Nam (SBV)
- Sacombank (ứng dụng Sacombank Pay)
- Tổng công ty Điện lực miền Trung (EVNCPC)
- Hệ thống đăng kiểm ô tô (TTĐK)
Tin tặc đã xây dựng các website giả mạo giao diện cơ quan nhà nước hoặc tổ chức tài chính và dụ người dùng tải các tập tin .apk độc hại. Chúng sử dụng nhiều hình thức tiếp cận như gửi email, tin nhắn trên mạng xã hội, hoặc quảng cáo trên công cụ tìm kiếm.
Giao diện trang web giả mạo Ngân hàng nhà nước Việt Nam
Cấp quyền hệ thống, đánh cắp OTP và dữ liệu
Sau khi người dùng cài đặt ứng dụng giả, phần mềm ngay lập tức yêu cầu quyền truy cập sâu vào hệ thống Android như:
- Quyền trợ năng (Accessibility)
- Hiển thị lớp phủ (Overlay)
Nhờ đó, mã độc có thể:
- Đọc nội dung tin nhắn SMS, lấy mã OTP
- Ghi lại thao tác người dùng
- Truy cập danh bạ
- Chụp ảnh màn hình
- Thao tác thay người dùng mà không để lại dấu vết
Các biểu tượng bị RedHook sử dụng để giả mạo
Điều khiển thiết bị từ xa bằng 34 lệnh
Phân tích mã nguồn RedHook cho thấy mã độc này có tới 34 lệnh điều khiển từ xa, từ gửi/nhận tin nhắn, cài đặt/gỡ ứng dụng, đến thực thi các lệnh hệ thống. Tin tặc sử dụng API MediaProjection để ghi lại toàn bộ nội dung màn hình, rồi truyền về máy chủ điều khiển.
RedHook còn có cơ chế xác thực bằng JSON Web Token (JWT), giúp duy trì quyền kiểm soát thiết bị ngay cả khi người dùng khởi động lại máy.
Dấu vết từ Trung Quốc và chiến dịch quy mô
Các chuyên gia Bkav phát hiện giao diện, đoạn mã của RedHook chứa nội dung viết bằng tiếng Trung, cùng các bằng chứng cho thấy chiến dịch có tổ chức và liên kết với nhiều vụ tấn công trước đó tại Việt Nam.
Ví dụ, nhóm tin tặc từng lợi dụng tên miền liên quan đến một dịch vụ làm đẹp nổi tiếng (mailisa[.]me) để phát tán mã độc. Máy chủ điều khiển sử dụng các địa chỉ ẩn danh như: api9.iosgaxx423.xyz, skt9.iosgaxx423.xyz. Các địa chỉ này được đặt tại nước ngoài, khiến việc truy vết gần như không thể.
Dữ liệu trên điện thoại nạn nhân được nén lại bằng gzip rồi gửi về máy chủ C&C
Khuyến cáo từ chuyên gia an ninh mạng
Bkav cảnh báo người dùng cần nâng cao cảnh giác, đặc biệt trong bối cảnh điện thoại thông minh ngày càng lưu trữ nhiều thông tin cá nhân, tài chính.
Người dùng nên:
- Chỉ cài ứng dụng từ Google Play. Không tải file APK từ tin nhắn, email hay quảng cáo lạ.
- Không cấp quyền trợ năng hoặc quyền hiển thị lớp phủ cho ứng dụng không rõ nguồn gốc.
- Nếu nghi ngờ thiết bị bị lây nhiễm: ngắt kết nối Internet, sao lưu dữ liệu, khôi phục cài đặt gốc, đổi mật khẩu và liên hệ ngân hàng để kiểm tra tài khoản.
Các tổ chức và doanh nghiệp nên:
- Giám sát truy cập mạng nội bộ
- Thiết lập cảnh báo kết nối đến các tên miền bất thường
- Áp dụng chính sách lọc DNS và bảo vệ thiết bị đầu cuối
