Vào tháng 8 năm 2025, các nhà chức trách Úc đã đưa ra nhiều cảnh báo lừa đảo sau khi người dùng báo cáo về các nhóm Facebook đáng ngờ quảng bá “chuyến đi dành cho người cao tuổi năng động”. Điều ban đầu có vẻ là những buổi tụ tập cộng đồng vô hại, lại che giấu một hoạt động mã độc di động tinh vi. Các nhà nghiên cứu từ ThreatFabric đã phát hiện ra rằng những nhóm này được quản lý bởi những kẻ lừa đảo, chúng dụ dỗ người cao tuổi tải xuống một Trojan Android độc hại mà họ gọi là “Datzbro”, có khả năng chiếm quyền điều khiển thiết bị toàn diện.

Báo cáo này mô tả cách chiến dịch hoạt động, các khả năng của Datzbro và lý do tại sao sự sẵn có trên toàn cầu của nó đặt ra một mối đe dọa mạng đáng kể.

Chiến dịch lừa đảo và phân phối mã độc di động

Mục tiêu và phương thức dụ dỗ

Chiến dịch này nhắm mục tiêu vào những người cao tuổi đang tìm kiếm các hoạt động xã hội, chuyến đi và sự kiện trực tiếp. Những kẻ lừa đảo đã tạo ra nhiều nhóm Facebook với các bài đăng được tạo bằng AI, thông báo về các sự kiện khiêu vũ, chuyến đi trong ngày và các buổi tụ tập khác.

Nội dung dù có vẻ chân thực, nhưng được thiết kế để thu hút người cao tuổi và thúc đẩy người dùng quan tâm tham gia vào các kênh nhắn tin riêng tư.

Phạm vi tấn công và cơ chế lây nhiễm

Các báo cáo cho thấy các nhóm nhắm vào đối tượng ở Úc cũng xuất hiện ở Singapore, Malaysia, Canada, Nam Phi và Vương quốc Anh, tất cả đều có phong cách nhắn tin và hình ảnh gần như giống hệt nhau.

Khi nạn nhân bày tỏ sự quan tâm, những kẻ lừa đảo sẽ liên hệ với họ qua Facebook Messenger hoặc WhatsApp. Nạn nhân nhận được các liên kết để tải xuống một “ứng dụng cộng đồng” được cho là để đăng ký sự kiện, kết nối thành viên và theo dõi lịch trình.

Trong một số trường hợp, một khoản phí đăng ký danh nghĩa được yêu cầu, dẫn đến việc đánh cắp dữ liệu thẻ thanh toán thông qua các trang web lừa đảo (phishing). Trong khi các liên kết dành cho iOS dẫn đến các trình giữ chỗ không hoạt động, các nạn nhân Android nhấp vào nút Google Play sẽ bị cung cấp một tệp APK độc hại.

Phân tích kỹ thuật mã độc Datzbro: Khả năng chiếm quyền điều khiển thiết bị

Mã độc Datzbro và các tính năng gián điệp

Phân tích của nhóm Mobile Threat Intelligence của ThreatFabric đã tiết lộ rằng tệp APK được tải xuống là một Trojan chiếm quyền điều khiển thiết bị mới, được đặt tên là “Datzbro” theo một chuỗi nhúng trong mã của nó.

Mã độc này kết hợp các tính năng spyware truyền thống — ghi âm, chụp ảnh camera, truy cập tệp và ảnh — với các khả năng điều khiển từ xa nâng cao.

Những khả năng này cho phép gian lận tài chính thông qua các cuộc tấn công “black overlay” và keylogging, làm mờ ranh giới giữa spyware và banking Trojan.

Tận dụng dịch vụ trợ năng Android

Datzbro khai thác các Dịch vụ trợ năng (Accessibility Services) của Android để thực hiện các cử chỉ tự động và hành động toàn cục, bao gồm mô phỏng nút Home và Back. Thông qua giao diện C2 (Command-and-Control) của nó, các nhà điều hành có thể:

• Thực hiện các cử chỉ tự động và hành động toàn cục (Home, Back).
• Điều khiển từ xa thiết bị ở chế độ schematic.
• Giám sát các sự kiện trợ năng cho các ứng dụng tài chính và dữ liệu nhạy cảm.
• Chặn các mục nhập mã PIN, mẫu hình hoặc mật khẩu thiết bị.

Ở chế độ schematic, mã độc Datzbro truyền một biểu diễn cấu trúc của các phần tử màn hình — vị trí, nhãn và nội dung — cho phép các nhà điều hành tương tác liền mạch với các ứng dụng trong khi ẩn mình sau một lớp phủ màu đen hoặc tùy chỉnh.

Kỹ thuật tấn công tài chính và đánh cắp thông tin

Mặc dù thiếu bộ công cụ lớp phủ đầy đủ của các banking Trojan cổ điển, Datzbro bao gồm các bộ lọc được mã hóa cứng cho các ứng dụng ngân hàng và tiền điện tử.

Mã độc giám sát các sự kiện trợ năng để tìm tên gói chứa các từ khóa như “bank”, “pay”, “alipay”, “wallet” và “finance”, cũng như văn bản sự kiện chứa “password”, “pin” hoặc các thuật ngữ xác minh cụ thể theo ngôn ngữ.

Khi được kích hoạt, Datzbro hiển thị các màn hình nhập thông tin đăng nhập giả mạo yêu cầu nạn nhân nhập mã PIN và mật khẩu ngân hàng. Nó cũng chặn các mục nhập mã PIN, mẫu hình hoặc mật khẩu thiết bị, thu thập tất cả dữ liệu xác thực nhạy cảm, góp phần vào hành vi đánh cắp dữ liệu.

Nguồn gốc và sự lan rộng của mã độc Datzbro

Phát hiện C2 và dấu vết nhà phát triển

Điều tra sâu hơn đã phát hiện ra một ứng dụng C2 dành cho máy tính để bàn bị rò rỉ và trình xây dựng cho Datzbro, hiện đã có sẵn miễn phí trên các nền tảng chia sẻ virus công cộng.

Mobile Threat Intelligence đã xác định các mẫu có tên “最强远控.apk” (“The most powerful remote control”) và các chuỗi gỡ lỗi tiếng Trung, cho thấy nguồn gốc của các nhà phát triển.

Giao diện C2 trên máy tính để bàn, không giống như các bảng điều khiển dựa trên web phổ biến, cho thấy một mô hình hoạt động độc đáo và xác nhận nguồn gốc của mã độc trong các cộng đồng tội phạm mạng nói tiếng Trung Quốc. Đây là một mối đe dọa mạng đáng gờm.

Nguy cơ toàn cầu và tác động

Bằng cách kết hợp nội dung do AI tạo, thao túng nền tảng xã hội và các tính năng mã độc tiên tiến như lớp phủ đen và điều khiển schematic, những kẻ tấn công đã tạo ra một mối đe dọa mạng tài chính mạnh mẽ chống lại những người cao tuổi dễ bị tổn thương.

Một chiến dịch bắt đầu bằng lời mời thân thiện trên Facebook có thể dẫn đến việc chiếm quyền điều khiển thiết bị hoàn toàn, đánh cắp dữ liệu thông tin đăng nhập và gian lận chuyển khoản.

Khuyến nghị bảo mật và phòng tránh

Nâng cao nhận thức và cảnh giác

Khi Datzbro lan rộng trên toàn cầu, việc nâng cao nhận thức trong số những người cao tuổi và các tổ chức cộng đồng là rất quan trọng. Các tổ chức tài chính và các bên liên quan đến an ninh mạng phải cảnh báo người dùng về việc tải xuống các ứng dụng không được xác minh được quảng bá qua mạng xã hội.

Kiểm soát quyền truy cập ứng dụng

Kiểm tra kỹ lưỡng hơn các quyền của Dịch vụ trợ năng và báo cáo cảnh giác về các nhóm trực tuyến đáng ngờ có thể giúp phá vỡ chuỗi từ lừa đảo xã hội đến lây nhiễm mã độc di động và ngăn chặn khả năng chiếm quyền điều khiển trái phép thiết bị.