Các nhà nghiên cứu của ESET gần đây đã phát hiện hai chiến dịch mã độc Android gián điệp tinh vi, nhắm mục tiêu vào người dùng đang tìm kiếm các nền tảng liên lạc an toàn bằng cách mạo danh các ứng dụng nhắn tin phổ biến như Signal và ToTok. Những hoạt động độc hại này, thể hiện một mối đe dọa mạng đáng kể, dường như tập trung chủ yếu vào cư dân Các Tiểu vương quốc Ả Rập Thống nhất (UAE), sử dụng các trang web lừa đảo và chiến thuật kỹ thuật xã hội để phân phối các họ phần mềm độc hại chưa từng được ghi nhận trước đây.

Phát hiện Chiến dịch Mã độc Android Tinh vi

Cuộc điều tra đã tiết lộ hai họ mã độc Android gián điệp riêng biệt hoạt động thông qua các chiến dịch lừa đảo được dàn dựng kỹ lưỡng. Android/Spy.ProSpy mạo danh các bản nâng cấp hoặc plugin cho cả ứng dụng nhắn tin Signal và ToTok, trong khi Android/Spy.ToSpy nhắm mục tiêu độc quyền vào người dùng ToTok bằng cách mạo danh chính ứng dụng này.

Không ứng dụng độc hại nào có sẵn thông qua các cửa hàng ứng dụng chính thức như Google Play. Điều này yêu cầu nạn nhân phải tự cài đặt phần mềm từ các trang web của bên thứ ba được thiết kế để trông hợp pháp, một rủi ro bảo mật đáng kể.

Phương thức Phân phối và Lừa đảo

Kỹ thuật Lừa đảo qua Website

Plugin độc hại được phân phối thông qua các chiến dịch lừa đảo sử dụng hai trang web chuyên dụng. Nó chỉ có sẵn dưới dạng một ứng dụng Android yêu cầu người dùng bật cài đặt thủ công từ các nguồn không xác định, làm tăng khả năng bị xâm nhập.

Một phương pháp phân phối đặc biệt tinh vi liên quan đến một trang web giả mạo cửa hàng Samsung Galaxy Store. Kỹ thuật này đã thành công trong việc dụ người dùng tải xuống và cài đặt phiên bản độc hại của ứng dụng ToTok, lẩn tránh các biện pháp bảo mật thông thường.

Chiến dịch ProSpy, được phát hiện vào tháng 6 năm 2025 nhưng được tin là đã hoạt động từ năm 2024, phân phối phần mềm độc hại thông qua ba trang web lừa đảo mạo danh nền tảng Signal và ToTok.

Chiến dịch này cung cấp các tệp APK độc hại được ngụy trang thành các cải tiến ứng dụng. Chúng được quảng cáo cụ thể là “Signal Encryption Plugin” và “ToTok Pro” để thu hút nạn nhân.

Biến thể “Signal Encryption Plugin” được phân phối thông qua các trang web lừa đảo chuyên dụng. Các miền này bao gồm “.ae.net” trong cấu trúc của chúng, cho thấy sự tập trung có chủ ý vào cư dân UAE.

Đặc điểm Mã độc Android ProSpy

Sau khi cài đặt, ứng dụng mã độc Android này yêu cầu quyền truy cập mở rộng vào danh bạ, tin nhắn SMS và tệp thiết bị. Sau khi được cấp, nó bắt đầu quá trình trích xuất dữ liệu ngầm mà không có sự đồng ý của người dùng.

Sau khi thiết lập ban đầu, “Signal Encryption Plugin” sử dụng một kỹ thuật ngụy trang tinh vi. Nó thay đổi giao diện trên thiết bị để trông giống như “Play Services” và chuyển hướng người dùng đến dịch vụ Google Play hợp pháp khi được nhấp vào.

Thao tác bí danh hoạt động này che giấu hiệu quả sự hiện diện của phần mềm gián điệp. Đồng thời, nó vẫn duy trì quyền truy cập liên tục vào dữ liệu nhạy cảm của người dùng, đảm bảo khả năng giám sát lâu dài.

Chiến dịch Mã độc Android ToSpy

Chiến dịch Mã độc Android ToSpy thể hiện các hoạt động khu vực thậm chí còn được nhắm mục tiêu cụ thể hơn. Các phát hiện đã xác nhận có nguồn gốc từ các thiết bị đặt tại UAE, cho thấy một mục tiêu địa lý rõ ràng.

Các nhà nghiên cứu đã xác định sáu mẫu chia sẻ mã độc hại và chứng chỉ nhà phát triển giống hệt nhau. Điều này cho thấy sự phối hợp chặt chẽ bởi một tác nhân đe dọa duy nhất đằng sau chiến dịch.

Bằng chứng cho thấy chiến dịch ToSpy bắt đầu vào giữa năm 2022. Chứng chỉ nhà phát triển được tạo vào ngày 24 tháng 5 năm 2022 và các miền liên quan được đăng ký vào cùng khoảng thời gian đó. Một số máy chủ điều khiển và ra lệnh (C2) vẫn hoạt động, cho thấy các hoạt động đang diễn ra tại thời điểm xuất bản.

Phần mềm mã độc Android này nhắm mục tiêu cụ thể vào các tệp sao lưu của ToTok với phần mở rộng .ttkmbackup. Điều này cho thấy mối quan tâm đặc biệt trong việc trích xuất lịch sử trò chuyện và dữ liệu ứng dụng. Sự tập trung này phù hợp với mức độ phổ biến của ToTok trong khu vực UAE và các khu vực lân cận.

Để biết thêm chi tiết kỹ thuật về các chiến dịch mã độc Android này, độc giả có thể tham khảo nghiên cứu chuyên sâu của ESET tại: ESET WeLiveSecurity.

Khả năng Thu thập Dữ liệu và Duy trì Hoạt động

Cả hai họ phần mềm gián điệp mã độc Android đều thể hiện khả năng thu thập dữ liệu mở rộng. Chúng tự động trích xuất thông tin thiết bị, tin nhắn SMS đã lưu, danh sách liên hệ và các tệp thuộc nhiều danh mục, bao gồm tài liệu, hình ảnh, video và kho lưu trữ.

Phần mềm độc hại duy trì các hoạt động nền liên tục thông qua các dịch vụ foreground, trình quản lý báo thức và cơ chế duy trì khi khởi động (boot persistence). Điều này đảm bảo rằng mã độc Android vẫn hoạt động ngay cả sau khi thiết bị được khởi động lại.

ToSpy sử dụng mã hóa AES ở chế độ CBC với một khóa được mã hóa cứng để bảo mật dữ liệu được trích xuất. Dữ liệu sau đó được truyền đến máy chủ điều khiển và ra lệnh thông qua yêu cầu HTTPS POST.

Cùng một khóa mã hóa được sử dụng trên tất cả sáu mẫu được xác định của mã độc Android này. Điều này cho thấy một sự phát triển và triển khai tập trung, cho phép tác nhân đe dọa quản lý hiệu quả các biến thể.

Các Chỉ báo Thỏa hiệp (IOCs)

Các miền liên quan đến việc phân phối và điều khiển các chiến dịch spyware này bao gồm:

• signal.ct[.]ws
• encryption-plug-in-signal.com-ae[.]net
• Các miền máy chủ C2 liên quan đến chiến dịch ToSpy (không được liệt kê cụ thể nhưng được đề cập là hoạt động)

Biện pháp Bảo vệ và Phòng ngừa

Google Play Protect tự động bảo vệ người dùng Android chống lại các phiên bản mã độc Android này đã biết. Nó cung cấp khả năng bảo vệ mặc định cho các thiết bị có Dịch vụ Google Play được cài đặt.

ESET đã chia sẻ phát hiện của họ với Google như một phần của quan hệ đối tác App Defense Alliance. Sự hợp tác này đảm bảo phản ứng nhanh chóng đối với các mối đe dọa mới nổi và tăng cường khả năng phòng thủ.

Các chuyên gia bảo mật nhấn mạnh tầm quan trọng của việc tránh cài đặt ứng dụng từ các nguồn không chính thức. Đồng thời, cần tắt tùy chọn cài đặt “unknown sources” (nguồn không xác định) trong cài đặt bảo mật của thiết bị.

Người dùng cần đặc biệt thận trọng khi tải xuống các ứng dụng hoặc tiện ích bổ sung tuyên bố cải thiện các dịch vụ liên lạc đáng tin cậy. Điều này càng quan trọng khi được nhắc cài đặt phần mềm bên ngoài các cửa hàng ứng dụng chính thức. Việc không tuân thủ các hướng dẫn này có thể dẫn đến rò rỉ dữ liệu nhạy cảm và xâm phạm quyền riêng tư nghiêm trọng.

Việc phát hiện ra các chiến dịch mã độc Android này làm nổi bật sự tinh vi ngày càng tăng của các hoạt động phần mềm gián điệp di động. Nó cũng nhấn mạnh tầm quan trọng của việc duy trì cảnh giác khi tải xuống các ứng dụng liên lạc, đặc biệt là ở các khu vực mà một số ứng dụng có thể bị hạn chế hoặc không có sẵn thông qua các kênh chính thức.