Các nhóm tác nhân đe dọa có trụ sở tại Nga đang tích cực phân phối mã độc Fantasy Hub, một loại Android Remote Access Trojan (RAT) tinh vi, thông qua các kênh Malware-as-a-Service (MaaS) dựa trên Telegram. Sự xuất hiện của biến thể mới này đánh dấu một bước leo thang đáng kể trong các hoạt động tấn công mạng tập trung vào thiết bị di động, đặt ra nhiều thách thức mới cho người dùng và tổ chức.

Fantasy Hub: Mã Độc Android Tinh Vi Dưới Dạng Dịch Vụ

Mã độc Fantasy Hub thể hiện sự hội tụ nguy hiểm của các kỹ thuật né tránh tiên tiến, chiến thuật kỹ thuật xã hội tinh vi và khả năng truy cập sâu vào cấp độ hệ thống.

Phần mềm độc hại này không chỉ phức tạp trong thiết kế mà còn dễ tiếp cận nhờ mô hình phân phối MaaS.

Các nhà nghiên cứu bảo mật từ zLabs của Zimperium đã ghi nhận chi tiết về các khả năng mở rộng của phần mềm gián điệp này, nhấn mạnh mức độ nguy hiểm mà nó mang lại. Tìm hiểu thêm về phân tích kỹ thuật của Fantasy Hub tại Zimperium.

Khả Năng Khai Thác Dữ Liệu và Giám Sát Hệ Thống

Mã độc Fantasy Hub sở hữu khả năng đáng sợ trong việc đánh cắp nhiều loại dữ liệu nhạy cảm từ thiết bị Android.

Cụ thể, nó có thể trích xuất tin nhắn SMS, danh bạ, nhật ký cuộc gọi, hình ảnh và video từ thiết bị của nạn nhân.

Hơn nữa, mã độc này còn duy trì khả năng chặn, sửa đổi và thậm chí xóa các thông báo đến, cho phép kẻ tấn công kiểm soát luồng thông tin trên thiết bị.

Các tác nhân đe dọa lợi dụng bộ công cụ của mã độc Fantasy Hub đã nhắm mục tiêu cụ thể vào các tổ chức tài chính lớn.

Chúng triển khai các cửa sổ lừa đảo (phishing windows) tùy chỉnh, được thiết kế để ngụy trang thành các ứng dụng ngân hàng hợp pháp.

Mục tiêu cuối cùng là thu thập thông tin đăng nhập và dữ liệu nhạy cảm khác từ người dùng.

Mô Hình Malware-as-a-Service (MaaS) và Cách Thức Vận Hành

Cấu trúc vận hành của mã độc Fantasy Hub là một ví dụ điển hình về cách các nền tảng Malware-as-a-Service (MaaS) đang dân chủ hóa các hoạt động tội phạm mạng tinh vi.

Mô hình này cho phép ngay cả những kẻ tấn công có ít kinh nghiệm kỹ thuật cũng có thể thực hiện các cuộc tấn công quy mô lớn.

Quy Trình Tùy Chỉnh và Phân Phối Mã Độc

Người mua mã độc Fantasy Hub có quyền lựa chọn biểu tượng, tên và trang web hoặc ứng dụng mà họ muốn mạo danh.

Sau đó, họ sẽ nhận được một phiên bản tùy chỉnh của mã độc để phân phối.

Nhà phát triển của mã độc Fantasy Hub quảng cáo sản phẩm của mình cùng với tài liệu hướng dẫn toàn diện, video minh họa và một bot Telegram chuyên dụng để quản lý đăng ký tự động.

Người mua tiềm năng có thể chọn các gói đăng ký khác nhau, cho phép họ truy cập vào trình xây dựng mã độc (malware builder).

Công cụ này cung cấp khả năng tùy chỉnh và triển khai các phiên bản mã độc được thiết kế riêng để nhắm mục tiêu vào các nạn nhân cụ thể.

Đáng chú ý, người bán còn cung cấp hướng dẫn chi tiết về cách tạo các trang Google Play Store giả mạo và bỏ qua các hạn chế bảo mật của Android, kèm theo các đánh giá giả mạo để tăng tính hợp pháp và lừa dối người dùng.

Cách tiếp cận dựa trên đăng ký này đã chứng tỏ hiệu quả đáng kể trong việc thu hút nhiều đối tượng người mua với các cấp độ kỹ năng kỹ thuật đa dạng.

Bot Telegram chịu trách nhiệm quản lý các khoảng thời gian đăng ký, chỉ định thiết bị bị nhiễm và cung cấp quyền truy cập command-and-control (C2) thông qua một giao diện trực quan.

Các tác nhân đe dọa tải tệp APK đã chọn của họ lên trình xây dựng, tệp này sẽ tự động tiêm dropper của Fantasy Hub trước khi triển khai.

Quy trình tự động hóa này giảm thiểu đáng kể độ phức tạp kỹ thuật cần thiết để khởi động các cuộc tấn công phối hợp, đặc biệt là chống lại các tổ chức tài chính và người dùng doanh nghiệp.

Kiến Trúc Kỹ Thuật và Cơ Chế Né Tránh Phát Hiện

Kiến trúc kỹ thuật của mã độc Fantasy Hub tích hợp nhiều chiến lược né tránh tinh vi, được thiết kế để vượt qua các cơ chế phát hiện và phân tích bảo mật thông thường.

Cơ Chế Dropper, Giải Mã và Tàng Hình

Mã độc nhúng một dropper gốc bên trong thư viện metamask_loader.

Thư viện này chịu trách nhiệm truy cập các tài sản được mã hóa trong thời gian chạy, một kỹ thuật làm phức tạp quá trình phân tích tĩnh.

Trong quá trình thực thi, một quy trình giải mã tùy chỉnh dựa trên thuật toán XOR, sử dụng mẫu khóa cố định 36 byte, sẽ giải mã payload chính.

Payload này được lưu trữ trong một tệp có tên metadata.dat và sau đó được giải nén bằng kỹ thuật nén gzip.

Cách tiếp cận này giúp giảm đáng kể các chỉ số tĩnh (static indicators) bằng cách giữ cho payload thực tế được mã hóa cho đến khi nó được thực thi trong thời gian chạy trên thiết bị của nạn nhân.

Khai Thác Quyền Hạn và Công Nghệ WebRTC

Một kỹ thuật khai thác đặc biệt nguy hiểm của Fantasy Hub liên quan đến việc lạm dụng vai trò trình xử lý SMS mặc định trên Android.

Không giống như các quyền thời gian chạy riêng lẻ yêu cầu sự chấp thuận riêng biệt của người dùng, việc trở thành trình xử lý SMS mặc định cấp quyền truy cập thống nhất vào nội dung SMS, danh bạ, chức năng camera và quyền truy cập tệp chỉ thông qua một bước ủy quyền duy nhất.

Mã độc Fantasy Hub tận dụng công nghệ WebRTC để cho phép truyền tải âm thanh và video thời gian thực trực tiếp đến các máy chủ command-and-control (C2) mà không yêu cầu các quyền riêng biệt.

Kỹ thuật này giúp kẻ tấn công thu thập dữ liệu đa phương tiện mà ít gây nghi ngờ cho người dùng.

Dropper thường ngụy trang thành một bản cập nhật hệ thống Google Play để giảm nghi ngờ của người dùng.

Các mẫu mã độc Fantasy Hub gần đây còn bao gồm tính năng phát hiện root (root detection) và kiểm tra môi trường cài đặt.

Những tính năng này được thiết kế đặc biệt để né tránh phân tích động và môi trường sandbox, làm cho việc nghiên cứu và phát hiện trở nên khó khăn hơn.

Để duy trì trạng thái hoạt động và ngăn thiết bị chuyển sang chế độ ngủ, mã độc này hiển thị một chỉ báo “Live stream active” tinh tế.

Tuy nhiên, một khi luồng trực tiếp kết thúc, nó sẽ âm thầm tắt quyền truy cập camera và microphone để tránh bị phát hiện.

Hoạt Động Command and Control (C2) và Rò Rỉ Dữ Liệu

Khi nạn nhân vô tình nhập thông tin đăng nhập thông qua các giao diện lừa đảo được tạo bởi Fantasy Hub, thông tin bị đánh cắp sẽ ngay lập tức được chuyển đến các máy chủ do kẻ tấn công kiểm soát.

Bảng điều khiển command-and-control (C2) của mã độc Fantasy Hub hiển thị nhiều chi tiết quan trọng.

Thông tin bao gồm thời gian đăng ký còn lại của thuê bao MaaS, trạng thái thiết bị (trực tuyến/ngoại tuyến) và thông tin cụ thể của thiết bị bị nhiễm.

Giao Diện Bảng Điều Khiển C2

Các tác nhân đe dọa quản lý các thiết bị bị xâm nhập truy cập vào một bảng điều khiển command-and-control bằng tiếng Nga.

Bảng điều khiển này cung cấp một cái nhìn tổng quan toàn diện về trạng thái thiết bị.

Nó hiển thị thời gian đăng ký còn lại, thương hiệu, kiểu máy, chỉ định khe cắm SIM và dấu thời gian hoạt động cuối cùng của thiết bị.

Mục Tiêu Tài Chính và Rủi Ro Bảo Mật Cao

Khả năng nhắm mục tiêu vào các tổ chức tài chính là mối đe dọa trực tiếp và cấp bách nhất đối với cả doanh nghiệp và người tiêu dùng cá nhân, tạo ra rủi ro bảo mật cao.

Các tác nhân đe dọa triển khai các cửa sổ lừa đảo được xây dựng sẵn, ngụy trang thành các ứng dụng ngân hàng hợp pháp nhằm đánh lừa người dùng.

Người bán mã độc Fantasy Hub còn cung cấp các video hướng dẫn chi tiết, chỉ rõ cách tạo các cửa sổ tùy chỉnh với các trường hoàn toàn có thể thay đổi.

Các trường này bao gồm số PIN, mật khẩu và chi tiết thẻ ngân hàng, giúp kẻ tấn công thu thập thông tin tài chính nhạy cảm.

Các Tổ Chức Tài Chính Bị Nhắm Mục Tiêu Đặc Biệt

Dưới đây là danh sách các tổ chức tài chính được biết đã bị nhắm mục tiêu bởi các tác nhân sử dụng mã độc Fantasy Hub:

• Alfa-Bank
• PSB
• Tbank
• Sber

Nhu Cầu Cấp Thiết về An Ninh Mạng Di Động

Sự xuất hiện và phát triển của Fantasy Hub nhấn mạnh nhu cầu cấp thiết về các chiến lược phòng thủ mối đe dọa di động toàn diện.

Điều này đặc biệt quan trọng trong các môi trường Bring-Your-Own-Device (BYOD), nơi việc sử dụng thiết bị di động cá nhân và doanh nghiệp giao thoa, làm tăng nguy cơ lây nhiễm.

Để đối phó với những mối đe dọa ngày càng tinh vi này, việc tăng cường các biện pháp an ninh mạng là điều không thể thiếu.