Một biến thể mã độc Android tinh vi mới có tên GhostGrab đang tích cực nhắm mục tiêu vào người dùng di động. Mã độc này sử dụng chiến lược kiếm tiền kép, kết hợp khai thác tiền điện tử ngầm với việc đánh cắp dữ liệu tài chính toàn diện.

GhostGrab hoạt động như một mối đe dọa đa diện, có hệ thống thu thập thông tin đăng nhập ngân hàng, chi tiết thẻ ghi nợ, thông tin nhận dạng cá nhân (PII) và mật khẩu dùng một lần (OTP) thông qua việc chặn tin nhắn SMS.

Tổng quan về Mã độc Android GhostGrab

Theo phân tích của CYFIRMA, GhostGrab đại diện cho một sự leo thang đáng kể trong các mối đe dọa di động. Nó kết hợp các cuộc tấn công tiêu tốn tài nguyên với gian lận tài chính trực tiếp, tạo ra một mối đe dọa phức hợp.

Mã độc này đồng thời làm cạn kiệt tài nguyên thiết bị trong khi thu thập thông tin đăng nhập ngân hàng nhạy cảm và thông tin cá nhân. Song song đó, mã độc này lợi dụng tài nguyên của thiết bị bị xâm nhập để khai thác tiền điện tử Monero trong nền.

Điều này tạo ra một dòng doanh thu kép cho các tác nhân đe dọa. Sự hội tụ các chức năng độc hại khác nhau vào một payload đa mục đích duy nhất là ví dụ điển hình về sự tinh vi ngày càng tăng của các mối đe dọa di động hiện đại.

Nó làm tăng cả hiệu quả và lợi nhuận của các chiến dịch tội phạm mạng nhắm vào các tổ chức tài chính và người dùng cá nhân. Bạn có thể xem thêm chi tiết phân tích tại CYFIRMA Research.

Cơ chế lây nhiễm và Kỹ thuật cài đặt

Chuỗi tấn công ban đầu

Chuỗi tấn công bắt đầu với các chuyển hướng dựa trên JavaScript trên miền độc hại kychelp[.]live. Trang này tự động buộc trình duyệt của nạn nhân tải xuống một APK dropper được ngụy trang dưới dạng “BOM FIXED DEPOSIT.apk”.

Kỹ thuật lừa đảo cài đặt

Trình thả (dropper) hiển thị giao diện cập nhật theo phong cách Play Store để lừa người dùng cấp quyền cài đặt. Khi được cài đặt, nó lạm dụng quyền REQUEST_INSTALL_PACKAGES để tạo điều kiện cài đặt các payload ẩn bổ sung trong ứng dụng mà không cần sử dụng Google Play.

Điều này cho phép triển khai liền mạch mô-đun đánh cắp ngân hàng. Việc lạm dụng các quyền này cho thấy khả năng của mã độc Android này trong việc né tránh các cơ chế bảo mật tiêu chuẩn.

Khai thác tài nguyên và Đánh cắp dữ liệu tài chính

Mô-đun khai thác tiền điện tử

Khi thiết bị bị khóa, mã độc Android này sẽ tải xuống một mô-đun khai thác được mã hóa (libmine-arm64.so) từ cơ sở hạ tầng do kẻ tấn công kiểm soát. Điều này chuẩn bị cho các hoạt động khai thác tiền điện tử tiêu tốn tài nguyên.

Mã độc này xây dựng các tham số dòng lệnh được mã hóa cứng cho các hoạt động khai thác tiền điện tử nền:

Monero Wallet Address: [hardcoded_address]
Mining Pool Endpoints: pool[.]uasecurity[.]org:9000,
                       pool-proxy[.]uasecurity[.]org:9000
Worker Identifiers:    [runtime_generated]

Cách tiếp cận này tạo ra sự hao pin liên tục, tiêu thụ tài nguyên CPU và bộ nhớ thiết bị, đồng thời tạo ra doanh thu tiền điện tử cho các tác nhân đe dọa. Đây là một ví dụ rõ ràng về cách **mã độc Android** có thể gây hại kép.

Kỹ thuật đánh cắp thông tin ngân hàng

Thành phần đánh cắp ngân hàng lạm dụng một loạt các quyền Android để cho phép đánh cắp dữ liệu toàn diện. Bằng cách khai thác các quyền READ_SMS, RECEIVE_SMS và SEND_SMS, GhostGrab chặn tất cả các tin nhắn đến, bao gồm mật khẩu dùng một lần, cảnh báo ngân hàng và mã xác thực hai yếu tố.

Mã độc này bao gồm các trang lừa đảo tinh vi được nhúng trong thư mục assets của APK. Các trang này được thiết kế để hiển thị qua WebView và bắt chước các giao diện ngân hàng hợp pháp.

Chúng hướng dẫn nạn nhân qua quy trình thu thập thông tin xác thực dần dần, ban đầu yêu cầu thông tin cá nhân như họ tên đầy đủ, số Aadhaar và số tài khoản dưới chiêu bài hoàn thành quy trình Know Your Customer (KYC).

Nếu nạn nhân chọn tùy chọn thẻ ghi nợ, các trang tiếp theo sẽ yêu cầu chi tiết thẻ đầy đủ, bao gồm số thẻ, ngày hết hạn, CVV và ATM PIN. Ngoài ra, nạn nhân chọn internet banking sẽ nhận được các biểu mẫu yêu cầu ID người dùng, mật khẩu đăng nhập và mật khẩu giao dịch để truy cập tài khoản trái phép.

Tất cả thông tin đăng nhập đã nhập đều được thu thập thông qua JavaScript tiêm nhiễm giám sát việc gửi biểu mẫu. Dữ liệu này sau đó được đóng gói với các định danh thiết bị thành các payload JSON được truyền trực tiếp đến Cơ sở dữ liệu Firebase Realtime do kẻ tấn công kiểm soát. Tìm hiểu thêm về lỗ hổng JavaScript tại GBHackers.

Lợi dụng quyền hạn Android

Các quyền CALL_PHONE và READ_PHONE_STATE của mã độc cho phép thao túng chuyển tiếp cuộc gọi và thực thi lệnh USSD trái phép. Điều này có khả năng cho phép kẻ tấn công âm thầm định tuyến lại các cuộc gọi xác minh đến các số do kẻ tấn công kiểm soát mà người dùng không hề hay biết.

Phân tích backend Firebase của kẻ tấn công cho thấy một cơ sở dữ liệu công khai chứa thông tin văn bản thuần túy của nhiều nạn nhân. Điều này bao gồm họ tên đầy đủ, số điện thoại di động, định danh Aadhaar, số tài khoản, mã CVV, ngày hết hạn thẻ và ATM PIN.

Sự cố rò rỉ dữ liệu nhạy cảm này nhấn mạnh tầm quan trọng của việc bảo mật cơ sở dữ liệu.

Cơ chế bền vững và Khả năng điều khiển từ xa

Kỹ thuật duy trì hoạt động

GhostGrab sử dụng nhiều kỹ thuật bền vững nâng cao được thiết kế để chống lại việc tắt hệ thống và né tránh phát hiện thông thường. Trong MainActivity, mã độc này sử dụng một <intent-filter> với CATEGORY.INFO thay vì CATEGORY.LAUNCHER.

Điều này cho phép nó ẩn khỏi trình khởi chạy ứng dụng và chạy một cách kín đáo trong nền để duy trì hoạt động lâu dài. Cấu hình này giúp mã độc khó bị phát hiện:

<activity android:name=".MainActivity">
    <intent-filter>
        <action android:name="android.intent.action.MAIN" />
        <category android:name="android.intent.category.INFO" /> <!-- Hides from launcher -->
    </intent-filter>
</activity>

Mã độc hiển thị thông báo nền trước cố định với phát lại phương tiện im lặng, yêu cầu miễn trừ tối ưu hóa pin, ẩn biểu tượng ứng dụng khỏi trình khởi chạy và sử dụng các cơ chế tự khởi động lại dựa trên các sự kiện hệ thống, bao gồm trình tự khởi động, thay đổi trạng thái màn hình và sửa đổi kết nối.

Điều khiển từ xa qua Firebase

GhostGrab tận dụng Firebase Cloud Messaging để nhận và thực thi các lệnh từ xa từ kẻ tấn công. Các lệnh này bao gồm bật hoặc tắt chuyển tiếp cuộc gọi qua chuỗi USSD, gửi tin nhắn SMS từ các thiết bị bị nhiễm và cấu hình chuyển tiếp SMS liên tục đến các số do kẻ tấn công kiểm soát.

Khả năng điều khiển từ xa này biến thiết bị bị nhiễm thành một công cụ mạnh mẽ trong tay kẻ tấn công, tăng cường **mối đe dọa mạng** tổng thể.

Trinh sát SIM

Mã độc thực hiện trinh sát SIM rộng rãi, thu thập các chi tiết cho mỗi khe cắm SIM như tên nhà mạng, số điện thoại liên quan và chỉ mục khe cắm. Khả năng này cho phép lập hồ sơ điện thoại toàn diện và chặn SMS.

Nó tăng đáng kể khả năng của kẻ tấn công trong việc bỏ qua các biện pháp bảo vệ tài khoản và chặn mã xác thực hai yếu tố. Điều này làm cho việc bảo vệ thiết bị di động trở nên cấp thiết hơn bao giờ hết.

Chỉ số thỏa hiệp (IOCs)

Các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) liên quan đến mã độc AndroidGhostGrab bao gồm:

• Tên tệp độc hại:BOM FIXED DEPOSIT.apk
• Tên mô-đun khai thác:libmine-arm64.so
• Miền độc hại ban đầu:kychelp[.]live
• Điểm cuối khai thác Monero:pool[.]uasecurity[.]org:9000
• Điểm cuối proxy khai thác Monero:pool-proxy[.]uasecurity[.]org:9000
• Địa chỉ ví Monero:[hardcoded_address_from_config]
• Giao thức liên lạc: Firebase Realtime Database, Firebase Cloud Messaging

Khuyến nghị bảo vệ và Giảm thiểu rủi ro

Để bảo vệ thiết bị khỏi các loại mã độc Android như GhostGrab, người dùng và tổ chức nên thực hiện các biện pháp sau:

• Đối với người dùng:
  • Ngay lập tức xem xét các ứng dụng đã cài đặt và gỡ cài đặt bất kỳ gói đáng ngờ nào, đặc biệt là những ứng dụng tự nhận là dịch vụ ngân hàng hoặc tài chính.
  • Bật xác thực hai yếu tố (2FA) thông qua các ứng dụng xác thực (authenticator apps) thay vì SMS khi có thể, vì điều này ngăn chặn các cuộc tấn công chặn SMS làm lộ thông tin tài khoản.
• Đối với quản trị viên thiết bị di động và tổ chức:
  • Nên triển khai giám sát SMS và thông báo nâng cao.
  • Thực thi các chính sách kiểm duyệt ứng dụng nghiêm ngặt và áp dụng các hạn chế khoanh vùng địa lý (geofencing) xung quanh các ứng dụng tài chính.
  • Các tổ chức nên xem xét triển khai các giải pháp phòng thủ mối đe dọa di động (MTD) có khả năng phát hiện các nỗ lực leo thang đặc quyền, thực thi quy trình nền bất thường và các mẫu đánh cắp dữ liệu dựa trên Firebase.