Một làn sóng mới của mã độc Android tinh vi đã xuất hiện, giả mạo các dịch vụ giao hàng nổi tiếng của Hàn Quốc. Các ứng dụng độc hại này sử dụng các kỹ thuật che giấu nâng cao, được hỗ trợ bởi trí tuệ nhân tạo (AI), nhằm né tránh các phương pháp phát hiện của phần mềm diệt virus truyền thống và khai thác thông tin nhạy cảm của người dùng.

Bản chất của Chiến dịch Mã độc Android

Các tác nhân đe dọa đứng sau chiến dịch này đã thể hiện kiến thức sâu rộng về các lỗ hổng bảo mật di động. Chúng kết hợp nhiều chiến lược né tránh phức tạp để duy trì hoạt động mà không bị phát hiện. Chiến dịch mã độc dựa vào một cơ chế phân phối khéo léo, ngụy trang dưới dạng ứng dụng theo dõi gói hàng hợp pháp để lừa đảo người dùng.

Kỹ thuật Phân phối Ngụy trang và Kỹ thuật Xã hội

Khi người dùng tải xuống và cấp các quyền cần thiết, ứng dụng hiển thị một giao diện giống hệt dịch vụ giao hàng thực. Nó thực hiện điều này bằng cách kết nối với các trang web theo dõi chính hãng và sử dụng các số theo dõi được tạo ngẫu nhiên. Cách tiếp cận kỹ thuật xã hội này giúp tạo dựng lòng tin giả mạo. Trong khi đó, ứng dụng thực hiện các hoạt động độc hại ở chế độ nền, khiến nó đặc biệt nguy hiểm cho các nạn nhân không nghi ngờ.

Người dùng bị lừa tin rằng họ đang sử dụng một ứng dụng hợp pháp. Điều này cho phép mã độc Android thu thập thông tin mà không gặp phải sự cảnh giác. Việc ngụy trang này là yếu tố then chốt giúp chiến dịch duy trì hiệu quả trong thời gian dài.

Che giấu Nâng cao bằng Trí tuệ Nhân tạo

Các nhà phân tích bảo mật từ ASEC đã xác định mã độc Android này sau khi phát hiện các mẫu phân phối lặp lại qua nhiều kênh khác nhau. Cuộc điều tra tiết lộ rằng các tác nhân đe dọa đã sử dụng các kỹ thuật che giấu được tăng cường bởi AI để che giấu chức năng thực sự của ứng dụng. Điều này làm cho quá trình đảo ngược kỹ thuật trở nên khó khăn hơn đáng kể đối với các nhà nghiên cứu bảo mật. Báo cáo của ASEC AhnLab cung cấp phân tích chuyên sâu về các phát hiện này.

Triển khai Kỹ thuật Che giấu ProGuard AI

Sự tinh vi về mặt kỹ thuật của các ứng dụng này nằm ở việc triển khai che giấu của chúng. Các nhà phát triển đã áp dụng kỹ thuật che giấu ProGuard được hỗ trợ bởi AI. Kỹ thuật này chuyển đổi tất cả tên lớp, định danh hàm và tên biến thành các chuỗi văn bản tiếng Hàn dài tám ký tự không có ý nghĩa. Phương pháp này khác biệt đáng kể so với các kỹ thuật che giấu tiêu chuẩn.

Việc sử dụng các ký tự tiếng Hàn ngẫu nhiên khiến việc phát hiện dựa trên mẫu trở nên khó khăn hơn đáng kể cho các công cụ bảo mật tự động. Điều này tạo ra một mối đe dọa mạng mới, thách thức các hệ thống phòng thủ truyền thống. Khả năng né tránh phát hiện của mã độc Android được tăng cường đáng kể nhờ vào yếu tố AI này.

Tên tài nguyên trong ứng dụng vẫn không bị sửa đổi. Điều này cho thấy một chiến lược che giấu có chọn lọc, được thiết kế đặc biệt để ẩn chức năng cốt lõi của ứng dụng. Đồng thời, nó vẫn duy trì đủ tính toàn vẹn cấu trúc để ứng dụng hoạt động bình thường, đảm bảo khả năng thực hiện tác vụ độc hại mà không bị sập.

Cơ chế Đánh cắp Dữ liệu và Né tránh C2

Các nhà nghiên cứu bảo mật đã phát hiện ra rằng sau khi thu thập thông tin từ các thiết bị bị nhiễm, mã độc Android sẽ thực hiện đánh cắp dữ liệu. Quá trình này diễn ra thông qua các trang web hợp pháp bị xâm phạm, được tái sử dụng làm máy chủ Command-and-Control (C2). Đây là một kỹ thuật tinh vi nhằm che giấu hoạt động của máy chủ C2 thực sự.

Máy chủ C2 Mã hóa Cứng và Kỹ thuật Né tránh Hệ thống

Các tác nhân đe dọa đã mã hóa cứng địa chỉ máy chủ C2 trong các bài đăng blog được lưu trữ trên các cổng thông tin của Hàn Quốc. Chúng tải các địa chỉ này một cách động khi ứng dụng khởi chạy. Kỹ thuật này tạo ra một rào cản phát hiện bổ sung. Các máy chủ độc hại thực tế xuất hiện dưới dạng lưu lượng truy cập web lành tính đối với các hệ thống giám sát mạng. Điều này che giấu hiệu quả hoạt động đánh cắp dữ liệu khỏi cơ sở hạ tầng bảo mật, khiến việc nhận diện lưu lượng độc hại trở nên cực kỳ khó khăn.

Chỉ số Thỏa hiệp (IOCs) Đã Xác định

Các mẫu mã độc Android được xác định bao gồm năm hàm băm MD5 đã được xác nhận. Các URL liên quan trỏ đến các miền Hàn Quốc bị xâm phạm, được sử dụng để đánh cắp dữ liệu và làm máy chủ C2.

• Hàm băm MD5:
  • [Hash 1 Placeholder - E.g., a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6]
  • [Hash 2 Placeholder - E.g., q1r2s3t4u5v6w7x8y9z0a1b2c3d4e5f6]
  • [Hash 3 Placeholder - E.g., f1e2d3c4b5a6987654321fedcba98765]
  • [Hash 4 Placeholder - E.g., 0987654321abcdef0123456789abcdef]
  • [Hash 5 Placeholder - E.g., abcdef0123456789abcdef0123456789]

  Lưu ý: Các hàm băm MD5 cụ thể không được cung cấp trong nội dung gốc. Để có thông tin chính xác, hãy tham khảo báo cáo gốc của ASEC.

• URL liên quan (Miền Hàn Quốc bị xâm phạm dùng cho Đánh cắp Dữ liệu):
  • [URL 1 Placeholder - E.g., hxxps://compromised-domain1.kr/path/to/c2]
  • [URL 2 Placeholder - E.g., hxxps://compromised-domain2.co.kr/another/c2]
  • [URL 3 Placeholder - E.g., hxxps://compromised-blog.tistory.com/post_id]
  • [URL 4 Placeholder - E.g., hxxps://compromised-cafe.naver.com/article_id]
  • [URL 5 Placeholder - E.g., hxxps://malicious-redirect.com/data]

  Lưu ý: Các URL cụ thể không được cung cấp trong nội dung gốc. Để có thông tin chính xác, hãy tham khảo báo cáo gốc của ASEC. Để tăng tính an toàn, các URL độc hại thường được làm méo mó (defanged) như sử dụng “hxxps” thay vì “https” để ngăn chặn truy cập vô tình.

Các Biện pháp Khuyến nghị Bảo mật

Các chuyên gia bảo mật cần ưu tiên phát hiện và chặn các mẫu mã độc Android này trên toàn bộ mạng lưới của họ. Việc này bao gồm triển khai các giải pháp bảo mật di động tiên tiến có khả năng phát hiện các kỹ thuật che giấu bằng AI. Đồng thời, việc áp dụng kiểm soát quyền ứng dụng nghiêm ngặt hơn đối với các ứng dụng dịch vụ giao hàng là điều cần thiết. Người dùng nên thận trọng khi cấp các quyền nhạy cảm cho các ứng dụng không rõ nguồn gốc.

Những biện pháp này giúp giảm thiểu rủi ro bị xâm nhập mạng và bảo vệ thông tin người dùng khỏi các chiến dịch đánh cắp dữ liệu tinh vi. Việc nâng cao nhận thức về các kỹ thuật lừa đảo qua ứng dụng cũng là một yếu tố quan trọng để bảo vệ người dùng cuối.