Trong những tuần gần đây, một mối đe dọa mạng mới đã xuất hiện trong bối cảnh ngân hàng di động: Herodotus, một Trojan ngân hàng Android tinh vi. Mã độc này đã gây ra nhiều thiệt hại đáng kể, tận dụng mô hình Malware-as-a-Service (MaaS) khét tiếng để phân phối, đồng thời áp dụng các kỹ thuật lừa đảo xã hội và đánh lừa kỹ thuật tinh vi. Herodotus thành công trong việc né tránh các giải pháp chống virus truyền thống, đặt dữ liệu tài chính của người dùng vào nguy cơ nghiêm trọng.

Mã Độc Herodotus: Phương Thức Tấn Công và Kỹ Thuật Né Tránh

Chiến Lược Phân Phối Qua Lừa Đảo SMS

Herodotus nhắm mục tiêu vào nạn nhân chủ yếu thông qua các chiến dịch lừa đảo qua tin nhắn SMS (phishing). Các tin nhắn này ngụy trang thành các cảnh báo hợp pháp hoặc thông báo dịch vụ từ ngân hàng. Người dùng không nghi ngờ sẽ nhận được các liên kết dẫn đến một trang web giả mạo. Trang này hướng dẫn họ tải xuống tệp APK, một quy trình được thực hiện bên ngoài môi trường an toàn của Cửa hàng Play chính thức của Google.

Việc cài đặt ứng dụng từ các nguồn ngoài cửa hàng (off-store installation) vốn là một dấu hiệu cảnh báo lớn, nhưng thường không bị phát hiện bởi nhiều hệ thống phòng thủ truyền thống. Điều này tạo điều kiện thuận lợi cho mối đe dọa mạng này xâm nhập vào thiết bị.

Khai Thác Quyền Truy Cập và Chiếm Đoạt Phiên Giao Dịch

Sau khi được cài đặt thành công, Herodotus ngay lập tức yêu cầu một loạt các quyền truy cập thiết bị quan trọng, đáng chú ý nhất là quyền Trợ năng (Accessibility) mạnh mẽ. Với quyền truy cập nâng cao này, mã độc sẽ chồng lên các màn hình giả mạo một cách thuyết phục lên trên các ứng dụng ngân hàng hợp pháp, từ đó thu thập cả dữ liệu hiển thị trên màn hình và bất kỳ thao tác gõ phím nào do người dùng nhập.

Điều này cho phép Trojan thực hiện các cuộc tấn công chiếm quyền điều khiển phiên (session takeover attacks). Herodotus âm thầm thực hiện các thao tác ngân hàng trong thời gian thực trong khi nạn nhân vẫn đang đăng nhập, khiến họ không thể nhận ra rằng một cuộc tấn công mạng đang diễn ra.

Kỹ Thuật “Con Người Hóa” Để Né Tránh Phát Hiện

Để trốn tránh các cơ chế chống gian lận và phát hiện, Herodotus sử dụng các kiểu hành vi “con người hóa”. Chúng bao gồm các độ trễ ngẫu nhiên, các chuyển động tinh tế và mô phỏng gõ phím giống thật. Những hành vi này làm cho các dấu hiệu tự động hóa gần như không thể nhìn thấy, gây khó khăn đặc biệt cho các hệ thống phát hiện lỗi thời trong việc phát hiện hoạt động độc hại.

Hạn Chế Của Giải Pháp Chống Virus Truyền Thống Đối Với Mối Đe Dọa Mạng

Điểm Yếu Của Phương Pháp Dựa Trên Chữ Ký

Nghiên cứu của nhóm Pradeo đã làm rõ những hạn chế của các công cụ chống virus hiện có. Một nhà cung cấp chống virus hàng đầu đã không đưa ra cảnh báo cho tệp APK của Herodotus, mặc dù các tìm kiếm cơ bản trên internet đã xác định được đây là một mối đe dọa mạng.

Nguyên nhân cốt lõi nằm ở cách các giải pháp chống virus thường hoạt động: chúng dựa trên cơ sở dữ liệu chữ ký và hành vi đã biết, chỉ giới hạn ở các mối đe dọa mạng đã được nhận dạng trước đó. Điều này khiến chúng dễ dàng bị vượt qua bởi các biến thể mới hoặc các kỹ thuật tấn công sáng tạo như Herodotus.

Thách Thức Từ Ứng Dụng Ngoài Cửa Hàng và Kích Hoạt Trì Hoãn

Các ứng dụng độc hại được tải xuống từ các nguồn không phải Play Store thường xuyên lẩn tránh được sự phát hiện, đặc biệt nếu các hành vi gây hại của chúng chỉ được kích hoạt sau khi cài đặt và phê duyệt quyền. Trong kịch bản của Herodotus, việc xác định cuộc tấn công một cách đáng tin cậy chỉ có thể thực hiện được bằng cách xâu chuỗi các chỉ số xâm nhập (IOCs).

Chỉ Số Đánh Dấu Sự Xâm Nhập (IOCs) Của Herodotus

Mỗi tín hiệu riêng lẻ có thể xuất hiện vô hại, nhưng chuỗi các sự kiện dưới đây chắc chắn chỉ ra một sự xâm nhập đang diễn ra, minh họa lý do tại sao các giải pháp chống virus độc lập liên tục bỏ sót các mối đe dọa mạng nâng cao như Herodotus:

• Các liên kết SMS đáng ngờ
• Cài đặt ứng dụng từ các nguồn bên thứ ba
• Yêu cầu các quyền nhạy cảm (ví dụ: quyền Trợ năng)
• Màn hình chồng lấn (screen overlays) trên ứng dụng hợp pháp
• Các tương tác người dùng giả lập (simulated interactions)

Phòng Chống Mối Đe Dọa Mạng Di Động Với Giải Pháp An Ninh Mạng Chuyên Biệt

Sự Cần Thiết Của Phòng Thủ Đa Lớp (MTD)

Chiến dịch Herodotus nhấn mạnh một thực tế quan trọng đối với các đội ngũ bảo mật di động: phần mềm chống virus không thể bắt kịp với bối cảnh mối đe dọa mạng đang phát triển ngày nay. Điều này đặc biệt đúng khi các cuộc tấn công tận dụng sự kết hợp của lừa đảo xã hội, phần mềm ngoài thị trường và lạm dụng quyền thiết bị.

Các giải pháp bảo vệ hiện đại đòi hỏi các cơ chế phòng thủ đa lớp. Giải pháp Phòng thủ Mối đe dọa Di động (Mobile Threat Defense – MTD) như của Pradeo, nổi bật nhờ khả năng liên tục giám sát hành vi thiết bị và chặn các cuộc tấn công ở mọi giai đoạn. Để tìm hiểu thêm về nghiên cứu của Pradeo về Herodotus, bạn có thể tham khảo tại đây.

Các Tính Năng Bảo Vệ Chủ Động Của MTD

• Chặn liên kết lừa đảo: Mô-đun chống lừa đảo của MTD chủ động chặn các liên kết độc hại, ngăn người dùng tiếp cận các trang tải xuống ứng dụng lừa đảo.
• Phát hiện cài đặt ngoài cửa hàng: Nếu một nỗ lực cài đặt từ nguồn không xác định được thực hiện, MTD ngay lập tức phát hiện nguồn không an toàn và cảnh báo nhân viên bảo mật can thiệp trước khi có sự xâm nhập.
• Giám sát yêu cầu quyền nhạy cảm: Giải pháp giám sát tất cả các yêu cầu quyền của ứng dụng đối với các quyền nhạy cảm. Bất kỳ ứng dụng nào tìm kiếm quyền Trợ năng hoặc các kiểm soát quan trọng tương tự sẽ bị gắn cờ và cách ly kịp thời, vô hiệu hóa cuộc tấn công trước khi nó có thể leo thang.
• Phát hiện bất thường giao diện người dùng: MTD cũng giám sát các bất thường của giao diện người dùng, phát hiện màn hình chồng lấn, theo dõi các tương tác giả lập và ngăn chặn hoạt động mạng liên quan đến các hành vi đáng ngờ. Các ứng dụng nhạy cảm được bảo vệ ngay lập tức khi có dấu hiệu nguy hiểm đầu tiên.

Tầm Quan Trọng Của MTD Trong An Ninh Mạng Doanh Nghiệp

Để bảo vệ người dùng doanh nghiệp và dữ liệu nhạy cảm, việc triển khai giải pháp MTD chuyên biệt giờ đây là một tiêu chuẩn cần thiết trong an ninh mạng. Nó giúp giảm thiểu rủi ro bảo mật từ các mối đe dọa mạng tinh vi như Herodotus và đảm bảo an toàn thông tin cho toàn bộ hệ thống.