Một nhóm tin tặc có động cơ tài chính đã nhắm mục tiêu vào người dùng Android tại Indonesia và Việt Nam từ tháng 8 năm 2024. Nhóm này sử dụng mã độc ngân hàng (banking trojans) ngụy trang dưới dạng ứng dụng nhận diện và thanh toán chính phủ để thực hiện các cuộc tấn công mạng tinh vi.

Chiến dịch được tổ chức chặt chẽ nhằm né tránh sự phát hiện và đánh cắp thông tin đăng nhập của người dùng. Các đối tượng này áp dụng cơ chế tải xuống phức tạp, tái sử dụng hạ tầng và tận dụng các trang web giả mạo dựa trên mẫu.

Phát Hiện Chiến Dịch Tấn Công và Cơ Chế Phân Phối Mã Độc Ngân Hàng

Chiến dịch này lần đầu tiên được phát hiện khi các nhà nghiên cứu nhận thấy các yếu tố HTML đáng ngờ trên các trang Google Play Store giả mạo. Các chuỗi như “VfPpkd-jY41G-V67aGc” là dấu hiệu rõ ràng của các cửa hàng ứng dụng được sao chép trái phép.

Một tên miền, icrossingappxyz[.]com, đã hiển thị các nút giả mạo “Download on Google Play” và “Download on App Store”. Nút dành cho Apple không hoạt động, trong khi nút Android kích hoạt một thanh tiến trình tải xuống trực tiếp trên trang, được cung cấp bởi một wrapper Socket.IO — một phương thức không phổ biến đối với các trang tải xuống hợp pháp.

Ẩn sau giao diện, trang web này mở một kết nối WebSocket. Khi lệnh “startDownload” được kích hoạt, máy chủ sẽ truyền tệp .apk theo nhiều phần thông qua các sự kiện socket.emit và socket.on.

Mỗi khi một phần của tệp đến, JavaScript sẽ cập nhật thanh tiến trình, mô phỏng quá trình tải xuống tự nhiên. Khi “downloadComplete”, script sẽ nối tất cả các phần, tạo một URL blob với kiểu MIME là application/vnd.android.package-archive, sau đó tạo một phần tử neo (anchor element) ẩn và tự động nhấp vào nó để kích hoạt lời nhắc tải xuống tệp của trình duyệt.

Kỹ thuật này cho phép các đối tượng vượt qua các bộ lọc bảo mật mạng chặn các liên kết .apk trực tiếp. Đồng thời, nó còn né tránh các trình quét tự động tìm kiếm các URL độc hại tĩnh.

Khi người dùng nhận được tệp—thường có tên IdentitasKependudukanDigital.apk—họ sẽ thấy các cảnh báo tải xuống tiêu chuẩn của trình duyệt.

Các Biến Thể Mã Độc Ngân Hàng BankBot.Remo

Phân tích sâu hơn cho thấy tải trọng (payload) là một biến thể của mã độc ngân hàng BankBot.Remo, một trojan có mã nguồn bị rò rỉ vào năm 2016 đã tạo ra nhiều nhánh khác nhau.

Ngoài phương thức phân phối dựa trên WebSocket tinh vi, các đối tượng còn triển khai các trang web giả mạo đơn giản hơn. Những trang này bắt chước các ứng dụng phổ biến trong khu vực, như một bản sao ứng dụng thanh toán thuế M-Pajak được lưu trữ trên twmlwcs[.]cc.

Trang web này sử dụng các liên kết tải xuống trực tiếp đến M-Pajak.apk. Giá trị băm SHA-256 của tệp này đã xác định một loader mã độc ngân hàng BankBot khác:

e9d3f6211d4ebbe0c5c564b234903fbf5a0dd3f531b518e13ef0dcc8bedc4a6d

Mã HTML của các trang này chứa các chuỗi ngôn ngữ hỗn hợp gồm tiếng Thái, tiếng Việt, tiếng Bồ Đào Nha và tiếng Indonesia. Điều này cho thấy việc tái sử dụng một mẫu chung mà không có logic bản địa hóa, một dấu hiệu của các tác nhân phụ kém tinh vi hơn.

Các biến thể mã độc ngân hàng khác được lưu trữ trong các danh sách thư mục mở trên các tên miền như dgpyynxzb[.]com và ykkadm[.]icu.

Các chỉ mục này đã tiết lộ hàng chục tệp APK giả mạo các ứng dụng ngân hàng hợp pháp. Bao gồm BCA.apk, Livin.apk, OCBCmobileid_02202025AC.apk và nhiều ứng dụng khác. Mỗi tệp đều có giá trị băm SHA-256 riêng biệt, nhưng tất cả đều tải các biến thể mã độc ngân hàng BankBot được cấu hình để liên hệ với các tên miền máy chủ C2 (Command and Control).

Hạ Tầng Và Các Chỉ Số Thỏa Hiệp (IOCs)

Trong năm qua, các nhà nghiên cứu đã xác định hơn 100 tên miền liên quan đến chiến dịch này. Phân tích dữ liệu DNS và siêu dữ liệu đăng ký cho thấy một dấu hiệu nhất quán.

Hầu hết các tên miền sử dụng Alibaba ISP, Gname.com Pte. Ltd. làm nhà đăng ký, và share-dns[.]net hoặc Cloudflare làm máy chủ tên miền. Các chứng chỉ TLS thường xuyên được tái sử dụng trên các cặp tên miền, và nhiều tên miền phân giải thành cùng một địa chỉ IP trải rộng khắp Singapore và Indonesia, cho thấy hạ tầng lưu trữ theo cụm.

Phân tích theo thời gian của việc đăng ký tên miền và các truy vấn DNS được nhìn thấy lần đầu đã tạo ra các bản đồ nhiệt gần như giống hệt nhau, với độ trễ trung bình 10.5 giờ giữa việc đăng ký và phân giải hoạt động.

Cả hai hoạt động này đều đạt đỉnh vào giờ ban ngày ở Đông Á (UTC+7 đến UTC+9), phù hợp với việc các đối tượng nhắm mục tiêu vào nạn nhân Indonesia và Việt Nam, đồng thời gợi ý về sự hiện diện cục bộ hoặc khu vực của nhóm.

Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

• Tên miền độc hại (Malicious Domains):
  • icrossingappxyz[.]com
  • twmlwcs[.]cc
  • dgpyynxzb[.]com
  • ykkadm[.]icu
  • saping.ynhqhu[.]com
  • admin.congdichvucongdancuquocgia[.]cc
• Giá trị băm SHA-256 của tệp độc hại (Malicious File SHA-256 Hashes):
  • e9d3f6211d4ebbe0c5c564b234903fbf5a0dd3f531b518e13ef0dcc8bedc4a6d (M-Pajak.apk)
  • Các giá trị băm khác cho BCA.apk, Livin.apk, OCBCmobileid_02202025AC.apk và nhiều tệp APK giả mạo khác.
• Tên tệp độc hại phổ biến (Common Malicious Filenames):
  • IdentitasKependudukanDigital.apk
  • M-Pajak.apk
  • BCA.apk
  • Livin.apk
  • OCBCmobileid_02202025AC.apk
• Hạ tầng liên quan (Associated Infrastructure):
  • ISP: Alibaba ISP
  • Nhà đăng ký (Registrar): Gname.com Pte. Ltd.
  • Máy chủ tên miền (Nameservers):share-dns[.]net, Cloudflare

Biện Pháp Phòng Ngừa và Tăng Cường An Toàn Thông Tin

Chiến dịch này nhấn mạnh cách các tác nhân đe dọa kết hợp các kỹ thuật che giấu nâng cao—chẳng hạn như tải xuống theo từng phần dựa trên WebSocket—và giả mạo hàng loạt bằng mẫu để vượt qua các kiểm soát bảo mật và lừa người dùng cài đặt mã độc ngân hàng.

Mặc dù sử dụng các chiến thuật này, các cảnh báo tải xuống của trình duyệt hiện đại cung cấp khả năng phát hiện quan trọng. Tuy nhiên, người dùng cuối cần duy trì cảnh giác cao độ để bảo vệ an toàn thông tin của mình.

Việc nhóm tin tặc nhất quán sử dụng Alibaba ISP, nhà đăng ký Gname và máy chủ tên miền share-dns[.]net cung cấp các chỉ số thỏa hiệp rõ ràng cho các nhà phòng thủ.

Các tổ chức nên chặn các tên miền C2 đã biết, giám sát lưu lượng WebSocket bất thường trên các trang web công cộng. Đồng thời, cần giáo dục người dùng về cách xác minh các nguồn ứng dụng chính thức để giảm thiểu rủi ro từ các mã độc ngân hàng này. Để biết thêm chi tiết về cách chiến dịch được phát hiện, bạn có thể tham khảo báo cáo của DomainTools.