Một chiến dịch tấn công mạng tinh vi đã được phát hiện nhằm vào người dùng Android thông qua các ứng dụng diệt virus giả mạo. Các ứng dụng này thực chất phân phối LunaSpy spyware đến thiết bị của nạn nhân. Các nhà nghiên cứu bảo mật đã xác định hoạt động độc hại này là một mối đe dọa tích cực, khai thác những lo ngại về bảo mật của người dùng để truy cập trái phép vào dữ liệu cá nhân và chức năng thiết bị.

Chiến dịch LunaSpy spyware đã hoạt động ít nhất từ tháng 2 năm 2025 và chủ yếu lây lan qua các ứng dụng nhắn tin phổ biến. Tin tặc sử dụng các chiến thuật kỹ thuật xã hội bằng cách phát tán phần mềm độc hại dưới vỏ bọc các công cụ diệt virus và bảo vệ ngân hàng hợp pháp.

Chiến dịch mã độc LunaSpy và phương thức lây lan

Kỹ thuật xã hội và phát tán ban đầu

Nạn nhân thường nhận được tin nhắn từ các liên hệ không xác định hoặc từ các tài khoản đã bị xâm phạm trong danh bạ của họ. Các tin nhắn này thường đi kèm với những chỉ dẫn đơn giản như “Chào, cài đặt chương trình này tại đây” cùng với các liên kết tải xuống.

Phương thức lây lan này tận dụng sự tin tưởng của người dùng vào các liên hệ cá nhân, dù đó là tài khoản bị chiếm đoạt. Điều này làm tăng khả năng nạn nhân nhấp vào liên kết độc hại mà không nghi ngờ.

Các kênh phân phối giả mạo

LunaSpy spyware cũng lây lan qua các kênh Telegram mới được tạo ra, giả mạo các nền tảng phân phối phần mềm hợp pháp. Các kênh này xuất hiện thường xuyên và có thể dễ dàng đánh lừa người dùng đang tìm kiếm các giải pháp bảo mật cho thiết bị di động của họ.

Kẻ tấn công tận dụng nỗi sợ hãi của người dùng về các mối đe dọa malware và sự sẵn lòng cài đặt bất kỳ ứng dụng nào hứa hẹn bảo vệ toàn diện. Điều này cho thấy tầm quan trọng của việc xác minh nguồn gốc ứng dụng trước khi cài đặt.

Kỹ thuật lừa đảo và chiếm đoạt quyền truy cập

Mô phỏng ứng dụng bảo mật hợp pháp

Khi được cài đặt, ứng dụng diệt virus giả mạo thực hiện các mô phỏng một cách thuyết phục về phần mềm bảo mật hợp pháp. Ứng dụng độc hại này tiến hành quét thiết bị giả và hiển thị cho người dùng các báo cáo đáng báo động, cho biết có nhiều mối đe dọa được phát hiện trên điện thoại thông minh của họ.

Những kết quả giả mạo này được thiết kế để đe dọa người dùng, buộc họ phải cấp quyền truy cập rộng rãi cho ứng dụng. Mục đích được đưa ra là để ứng dụng có thể loại bỏ các mối đe dọa không tồn tại và bảo vệ thiết bị.

Chiếm quyền điều khiển qua lừa đảo

Cách tiếp cận lừa đảo này thao túng nạn nhân để họ tự nguyện cung cấp cho malware quyền truy cập vào tất cả dữ liệu cá nhân được lưu trữ trên thiết bị của họ. Điều này bao gồm các thông tin nhạy cảm như mật khẩu, tin nhắn và chi tiết tài chính. Sự thành công của chiến dịch này nằm ở khả năng lừa dối người dùng trao quyền kiểm soát một cách chủ động.

Khả năng gián điệp và rò rỉ dữ liệu của LunaSpy

Trộm cắp thông tin đăng nhập

Các phiên bản mới nhất của LunaSpy spyware thể hiện khả năng ngày càng tinh vi, cho phép giám sát toàn diện các thiết bị bị lây nhiễm. Malware này có thể đánh cắp mật khẩu từ cả trình duyệt web và các ứng dụng nhắn tin. Điều này nhấn mạnh tầm quan trọng của việc sử dụng các công cụ quản lý mật khẩu chuyên dụng để tăng cường bảo mật.

Giám sát âm thanh, hình ảnh và truyền thông

Kho vũ khí giám sát của LunaSpy bao gồm khả năng ghi âm và video thông qua micro và camera của thiết bị. Ngoài ra, nó có thể truy cập tin nhắn văn bản và nhật ký cuộc gọi, đọc danh sách liên hệ và thực thi các lệnh shell tùy ý.

Khả năng này cho phép kẻ tấn công thu thập một lượng lớn thông tin riêng tư và nhạy cảm, từ nội dung cuộc trò chuyện cá nhân đến môi trường xung quanh nạn nhân. Mọi thông tin thu thập được đều tiềm ẩn nguy cơ rò rỉ dữ liệu nghiêm trọng.

Theo dõi vị trí và hoạt động màn hình

Phần mềm gián điệp này cũng theo dõi vị trí địa lý của người dùng và có thể ghi lại hoạt động màn hình theo thời gian thực. Điều này cung cấp cho kẻ tấn công cái nhìn sâu sắc về thói quen di chuyển của nạn nhân và mọi tương tác trên thiết bị.

Chức năng tiềm ẩn

Các nhà nghiên cứu đã phát hiện mã không hoạt động trong phần mềm độc hại được thiết kế để đánh cắp ảnh từ thư viện thiết bị. Mặc dù chức năng này chưa được kích hoạt trong các chiến dịch hiện tại, sự tồn tại của nó cho thấy tiềm năng mở rộng khả năng giám sát của LunaSpy spyware trong tương lai.

Hạ tầng Command and Control (C2)

Tất cả thông tin thu thập được đều được truyền đến kẻ tấn công thông qua một mạng lưới mở rộng gồm khoảng 150 miền và địa chỉ IP khác nhau, đóng vai trò là máy chủ command-and-control (C2). Sự đa dạng và số lượng lớn các máy chủ C2 này giúp kẻ tấn công duy trì hoạt động và khó bị chặn hoàn toàn.

Khuyến nghị phòng ngừa và tăng cường bảo mật Android

Để bảo vệ bản thân khỏi các chiến dịch tấn công mạng tương tự và LunaSpy spyware, người dùng cần thực hiện các biện pháp phòng ngừa chặt chẽ:

Tránh các nguồn phần mềm không chính thức

Không cài đặt phần mềm từ các nguồn không chính thức hoặc cửa hàng ứng dụng của bên thứ ba không đáng tin cậy. Luôn ưu tiên tải ứng dụng từ Google Play Store hoặc các nhà cung cấp uy tín đã được xác minh. Việc cài đặt ứng dụng từ các nguồn không được kiểm soát là con đường phổ biến nhất để mã độc xâm nhập thiết bị.

Thận trọng với yêu cầu tải xuống bất ngờ

Cần xem xét kỹ lưỡng mọi yêu cầu tải xuống bất ngờ, đặc biệt là những yêu cầu đến từ các tin nhắn hoặc email không rõ nguồn gốc. Ngay cả khi tin nhắn xuất phát từ một liên hệ quen thuộc, hãy xác minh tính xác thực của nó thông qua một kênh liên lạc khác nếu nội dung có vẻ đáng ngờ.

Sử dụng giải pháp bảo mật đáng tin cậy

Triển khai và duy trì các giải pháp bảo mật uy tín từ các nhà cung cấp đã có tên tuổi. Các ứng dụng bảo mật di động chính hãng có khả năng phát hiện và ngăn chặn mã độc, bảo vệ thiết bị khỏi các mối đe dọa. Kaspersky, ví dụ, đã nghiên cứu và công bố chi tiết về chiến dịch này: Kaspersky: Disguised Spy for Android.

Nâng cao nhận thức về an ninh mạng

Thường xuyên cập nhật kiến thức về các mối đe dọa an ninh mạng mới nhất và thực hành hành vi trực tuyến thận trọng. Nhận thức bảo mật và tư duy phản biện là những phòng thủ hiệu quả nhất chống lại các cuộc tấn công kỹ thuật xã hội tinh vi. Người dùng cần hiểu rằng không có ứng dụng nào có thể bảo vệ hoàn toàn nếu họ không tuân thủ các nguyên tắc bảo mật Android cơ bản.