Sự phổ biến của các ứng dụng trí tuệ nhân tạo đã tạo ra những cơ hội chưa từng có cho tội phạm mạng để khai thác niềm tin của người dùng thông qua các ứng dụng di động độc hại và lừa đảo.

Hiện nay, các kho ứng dụng di động đang tràn ngập hàng trăm ứng dụng có giao diện tương tự, tự nhận cung cấp các dịch vụ AI như ChatGPT và DALL·E.

Các nhà nghiên cứu bảo mật đã phát hiện rằng đằng sau các logo được trau chuốt và lời hứa hẹn về chức năng nâng cao là một thực tế nguy hiểm: không phải tất cả các ứng dụng giả mạo đều vô hại.

Một số hoạt động như các wrapper API đơn giản, số khác là các chương trình kiếm tiền bằng quảng cáo, và những biến thể nguy hiểm nhất che giấu phần mềm gián điệp tinh vi có khả năng giám sát thiết bị toàn diện và đánh cắp dữ liệu xác thực.

Mối Đe Dọa Từ Ứng Dụng Di Động Độc Hại trong Kỷ Nguyên AI

Tốc Độ Tăng Trưởng Thị Trường AI Di Động và Rủi Ro

Phân tích bảo mật gần đây cho thấy giả mạo thương hiệu đã trở thành một vector tấn công mới nhắm vào cả người tiêu dùng và doanh nghiệp dựa vào ứng dụng AI di động.

Theo Báo cáo Tình hình Di động 2025 của SensorTower, các ứng dụng di động liên quan đến AI đã tạo ra tổng cộng 17 tỷ lượt tải xuống vào năm 2024, chiếm khoảng 13% tổng số lượt tải xuống ứng dụng toàn cầu.

Sự tăng trưởng bùng nổ này đã thu hút các nhà phát triển cơ hội, những người sao chép giao diện và thương hiệu của các công cụ AI hợp pháp để lừa gạt người dùng không nghi ngờ. Chi tiết về khai thác AI.

Bức tranh mối đe dọa mở rộng vượt ra ngoài sự bắt chước đơn thuần, bao gồm một loạt các hoạt động độc hại từ thu thập dữ liệu xâm nhập đến các framework mã độc đầy đủ tính năng có khả năng chiếm quyền điều khiển thiết bị và đánh cắp thông tin xác thực.

Sự gia tăng của các ứng dụng di động độc hại này đặt ra thách thức lớn đối với an ninh mạng toàn cầu.

Phân Loại và Phân Tích Kỹ Thuật Các Ứng Dụng Giả Mạo AI

Cấp Độ 1: Wrapper API Hợp Pháp Với Rủi Ro Quyền Riêng Tư

Các nhà nghiên cứu bảo mật đã xác định các loại ứng dụng AI giả mạo riêng biệt, mỗi loại tiềm ẩn mức độ rủi ro bảo mật khác nhau đối với người dùng và tổ chức. Phân tích chi tiết về ứng dụng AI giả mạo.

Cấp độ đầu tiên bao gồm các wrapper không chính thức, kết nối minh bạch với các API chính hãng mà không có ý định lừa đảo.

Mặc dù các ứng dụng này chỉ gây ra rủi ro bảo mật tối thiểu, chúng vẫn đặt ra mối lo ngại về quyền riêng tư và sự nhầm lẫn thương hiệu đối với người dùng cuối.

Ví dụ điển hình là các ứng dụng wrapper ChatGPT công khai thừa nhận trạng thái không chính thức của mình, đồng thời cung cấp quyền truy cập hợp pháp vào các dịch vụ của OpenAI.

Cấp Độ 2: Giả Mạo Thương Hiệu để Thu Tiền Quảng Cáo

Cấp độ thứ hai bao gồm các ứng dụng giả mạo thương hiệu, khai thác logo và giao diện dễ nhận biết để tạo doanh thu quảng cáo.

Đây cũng là một dạng ứng dụng di động độc hại phổ biến, thường nhắm mục tiêu vào người dùng không cảnh giác.

Một phân tích kỹ thuật chi tiết đã kiểm tra một ứng dụng được dán nhãn sai là “DALL·E 3 AI Image Generator”, được lưu trữ trên các kho ứng dụng của bên thứ ba.

Mặc dù tự giới thiệu là sản phẩm của OpenAI với tuyên bố về khả năng tạo ảnh bằng AI, ứng dụng này không chứa bất kỳ chức năng hợp pháp nào.

Thay vào đó, ứng dụng di động độc hại này thiết lập các kết nối mạng độc quyền đến các dịch vụ quảng cáo và phân tích.

Kiểm tra kỹ thuật cho thấy tên gói được cố ý bắt chước thương hiệu của OpenAI, chứa địa chỉ Gmail và khóa API được nhúng, và được lắp ráp vội vàng từ mã mẫu.

Ứng dụng về cơ bản hoạt động như một “ký sinh trùng” thương mại, kiếm tiền từ dữ liệu người dùng và lượt hiển thị quảng cáo thông qua sự lừa dối phức tạp.

Các kết nối mạng quan sát được bao gồm:

• Adjust
• AppsFlyer
• Unity Ads
• Bigo Ads

Cấp Độ 3: Khung Mã Độc Toàn Diện Cho Mục Đích Gián Điệp

Cấp độ thứ ba và nguy hiểm nhất đại diện cho các framework mã độc được vũ khí hóa hoàn toàn, được thiết kế để giám sát toàn diện và đánh cắp thông tin xác thực.

Phân tích bảo mật một ứng dụng ngụy trang thành “WhatsApp Plus” – một biến thể messenger không được ủy quyền – đã tiết lộ một mối đe dọa ở cấp độ nghiêm trọng, sử dụng các kỹ thuật che giấu tinh vi.

Đây là một ví dụ rõ ràng về ứng dụng di động độc hại có khả năng chiếm quyền điều khiển thiết bị cao.

Mã độc này sử dụng chứng chỉ giả mạo thay vì khóa ký hợp pháp của Meta và triển khai trình đóng gói Ijiami, một công cụ thường được tác giả mã độc sử dụng để mã hóa mã độc hại.

Khi cài đặt, các tệp thực thi ẩn trong thư mục “secondary-program-dex-jars” vẫn không hoạt động cho đến khi được giải mã và tải, một đặc điểm nhận dạng của chức năng trojan loader.

Sau khi kích hoạt, mã độc WhatsApp Plus âm thầm yêu cầu quyền truy cập thiết bị rộng rãi, cho phép truy cập vào danh bạ, tin nhắn SMS, nhật ký cuộc gọi và thông tin tài khoản.

Các đặc quyền này cho phép kẻ tấn công chặn mật khẩu một lần (OTP), lấy cắp sổ địa chỉ và mạo danh nạn nhân trong các ứng dụng nhắn tin.

Các thư viện gốc được nhúng duy trì thực thi nền liên tục ngay cả sau khi ứng dụng đóng.

Phân tích mạng xác nhận mã độc sử dụng kỹ thuật domain fronting, che giấu lưu lượng độc hại phía sau các endpoint hợp pháp của Amazon Web Services và Google Cloud.

Đây là một phương pháp lẩn tránh tinh vi từng được quan sát thấy trong các họ phần mềm gián điệp như Triout và AndroRAT.

Những kỹ thuật này khiến việc phát hiện ứng dụng di động độc hại trở nên khó khăn hơn, yêu cầu các giải pháp bảo mật nâng cao.

Chiến Lược Phòng Ngừa và Phản Ứng Với Ứng Dụng Di Động Độc Hại

Tác Động Đến An Ninh Tổ Chức và Tuân Thủ Quy Định

Sự phát triển nhanh chóng của các ứng dụng AI lừa đảo đặt ra những rủi ro bảo mật đáng kể đối với tư thế an ninh của tổ chức, sự tuân thủ quy định và uy tín thương hiệu.

Giải Pháp Giám Sát Liên Tục và Phản Hồi Nhanh Chóng

Các doanh nghiệp phải triển khai các giải pháp giám sát liên tục có khả năng phát hiện các ứng dụng giả mạo trên các kho ứng dụng toàn cầu.

Điều này bao gồm việc tiến hành đánh giá lỗ hổng tự động và cung cấp khả năng hiển thị bảo mật theo thời gian thực.

Các nhóm bảo mật cần các nền tảng thống nhất cung cấp hướng dẫn khắc phục theo ngữ cảnh và hệ thống ticketing tích hợp, cho phép phản ứng nhanh chóng trước mối đe dọa.

Khi việc áp dụng AI di động tăng tốc, các tổ chức không thể chỉ dựa vào các cơ chế kiểm duyệt ứng dụng truyền thống.

Giám sát chủ động, liên tục là biện pháp phòng thủ hiệu quả duy nhất chống lại các mối đe dọa sau triển khai ngày càng phát triển từ các ứng dụng di động độc hại.