Albiriox, một biến thể mã độc Android mới đầy tinh vi, đã xuất hiện trên bối cảnh tội phạm mạng, cung cấp các khả năng truy cập từ xa nâng cao dưới dạng mô hình Malware-as-a-Service (MaaS).

Được các nhà nghiên cứu tại Cleafy nhận dạng, mã độc này được thiết kế để thực hiện gian lận trên thiết bị (On-Device Fraud – ODF), cấp cho kẻ tấn công toàn quyền kiểm soát các thiết bị bị lây nhiễm. Điều này cho phép chúng vượt qua các biện pháp bảo mật hiện có và rút tiền từ các tài khoản tài chính của nạn nhân.

Albiriox: Khả năng chiếm quyền điều khiển và cơ chế hoạt động

Mô hình Malware-as-a-Service (MaaS)

Albiriox lần đầu tiên xuất hiện vào tháng 9 năm 2025 trên các diễn đàn ngầm độc quyền, chuyển từ giai đoạn thử nghiệm riêng tư sang cung cấp thương mại công khai vào tháng 10 cùng năm. Hoạt động này được cho là do các nhóm tác nhân đe dọa quản lý và tiếp thị mạnh mẽ.

Dịch vụ này được ra mắt với mô hình đăng ký, tính phí các chi nhánh khoảng 650 USD mỗi tháng để truy cập bộ công cụ toàn diện của mã độc. Mô hình MaaS hạ thấp rào cản kỹ thuật cho những kẻ tấn công, cho phép ngay cả những người ít kinh nghiệm cũng có thể thực hiện các cuộc tấn công tài chính phức tạp.

Khai thác On-Device Fraud (ODF)

Không giống như các công cụ đánh cắp thông tin đăng nhập đơn giản, Albiriox được thiết kế để tương tác theo thời gian thực. Mã độc này sử dụng mô-đun VNC (Virtual Network Computing), truyền trực tiếp màn hình của nạn nhân đến kẻ tấn công.

Điều này cho phép tội phạm thực hiện gian lận ngân hàng thủ công trên thiết bị của nạn nhân, thường khi người dùng không hề hay biết. Phương pháp này có hiệu quả trong việc vượt qua các biện pháp xác định thiết bị và các giao thức xác thực hai yếu tố (2FA), gây ra rủi ro bảo mật nghiêm trọng cho người dùng.

Mô-đun VNC và Bỏ qua Xác thực 2FA

Mô-đun VNC là một thành phần cốt lõi của Albiriox, cho phép kẻ tấn công điều khiển hoàn toàn thiết bị từ xa như thể đang cầm thiết bị trong tay. Luồng video trực tiếp từ màn hình thiết bị nạn nhân đến máy chủ của kẻ tấn công giúp chúng thực hiện các thao tác phức tạp.

Kẻ tấn công có thể truy cập các ứng dụng ngân hàng, thực hiện chuyển khoản hoặc mua sắm trực tuyến. Khả năng này vô hiệu hóa hiệu quả các cơ chế bảo mật như xác thực hai yếu tố (2FA) và dấu vân tay thiết bị, vốn dựa vào sự tương tác vật lý hoặc đặc điểm nhận dạng của thiết bị.

Phương thức phân phối và cơ chế lẩn tránh phát hiện

Chuỗi lây nhiễm đa giai đoạn

Việc phân phối Albiriox dựa vào một quy trình hai giai đoạn lừa đảo được thiết kế để tránh bị phát hiện. Các chiến dịch ban đầu nhắm mục tiêu vào người dùng ở Áo bằng cách sử dụng phiên bản giả mạo của ứng dụng “Penny Market” phổ biến.

Các phiên bản gần đây đã phát triển để bao gồm các mồi nhử dựa trên WhatsApp, yêu cầu người dùng nhập số điện thoại để nhận liên kết tải xuống. Phương pháp này giúp lọc mục tiêu đến các khu vực cụ thể như Áo, tăng tính hiệu quả của cuộc tấn công.

Công nghệ lẩn tránh (Golden Crypt) và Dịch vụ trợ năng

Kiến trúc của Albiriox tập trung vào sự lẩn tránh và kiểm soát. Mã độc này sử dụng “Golden Crypt”, một dịch vụ mã hóa của bên thứ ba, để làm cho mã độc hoàn toàn không bị phát hiện (FUD) bởi các công cụ diệt virus tĩnh. Điều này giúp mã độc vượt qua các lớp phòng thủ ban đầu của hệ thống.

Sau khi kích hoạt, Albiriox lợi dụng Dịch vụ trợ năng (Accessibility Services) của Android để thực hiện các cuộc tấn công phủ màn hình (overlay attacks) và ghi lại thao tác bàn phím (keylogging). Việc lạm dụng các dịch vụ này là một chiến thuật phổ biến của mã độc Android để giành quyền kiểm soát tương tác người dùng và thu thập thông tin nhạy cảm.

# Ví dụ về việc kiểm tra quyền Dịch vụ trợ năng (trên thiết bị đã root)
adb shell settings get secure enabled_accessibility_services

# Lệnh cấp quyền thông qua ADB (cần thiết lập để không có sự tương tác UI)
# Lưu ý: Mã độc sẽ tự động thực hiện việc này.
adb shell cmd package grant --user 0 [package_name] android.permission.BIND_ACCESSIBILITY_SERVICE

Mục tiêu tấn công và tác động

Danh sách ứng dụng tài chính mục tiêu

Mã độc Albiriox được mã hóa cứng với một danh sách mục tiêu gồm hơn 400 ứng dụng. Danh sách mở rộng này bao gồm các ứng dụng ngân hàng truyền thống lớn, ví tiền điện tử và bộ xử lý thanh toán trên toàn thế giới.

Phạm vi rộng lớn của các ứng dụng mục tiêu cho thấy quy mô tham vọng của nhóm tác nhân đe dọa, nhắm vào một phổ rộng các dịch vụ tài chính để tối đa hóa lợi nhuận phi pháp. Cleafy đã cung cấp thêm thông tin chi tiết về các mục tiêu này trên trang web của họ: Cleafy Labs: Albiriox RAT.

Mối đe dọa nghiêm trọng đối với người dùng Android

Chu kỳ phát triển nhanh chóng của Albiriox cho thấy nó đang định vị mình là một công cụ thống trị cho gian lận tài chính. Khả năng kết hợp luồng màn hình với thao tác trợ năng cho phép kẻ tấn công hoạt động vô hình đằng sau các lớp phủ màn hình đen.

Điều này khiến nó trở thành một rủi ro bảo mật nghiêm trọng đối với các tổ chức tài chính và người dùng Android trên toàn cầu. Mức độ tinh vi của mã độc này đòi hỏi các biện pháp phòng thủ mạnh mẽ và nhận thức cao từ người dùng.

Chỉ số thỏa hiệp (Indicators of Compromise – IOCs) và Biện pháp phòng ngừa

IOCs được quan sát

Theo phân tích ban đầu, các chi tiết về hồ sơ kỹ thuật của hoạt động Albiriox được quan sát trong quá trình phân tích bao gồm các yếu tố như địa chỉ máy chủ C2, tên miền, và băm tệp của các thành phần mã độc. Tuy nhiên, thông tin cụ thể về các IOC (như danh sách các địa chỉ IP, tên miền, hoặc băm file) không được cung cấp chi tiết trong nội dung gốc để liệt kê.

Thông thường, các IOC sẽ bao gồm các dữ liệu như sau:

• Băm tệp (File Hashes): MD5, SHA1, SHA256 của các tệp mã độc.
• Địa chỉ IP (IP Addresses): Địa chỉ IP của các máy chủ C2 (Command and Control).
• Tên miền (Domain Names): Tên miền được sử dụng cho liên lạc C2 hoặc phát tán mã độc.
• URL: Các địa chỉ URL dùng để tải xuống hoặc giao tiếp.

Người dùng và tổ chức nên tham khảo các báo cáo chuyên sâu từ các hãng bảo mật để cập nhật các IOC mới nhất khi chúng được công bố.

Khuyến nghị bảo vệ

Để giảm thiểu rủi ro từ Albiriox và các mã độc Android tương tự, người dùng và tổ chức cần thực hiện các biện pháp phòng ngừa sau:

• Tải ứng dụng từ nguồn đáng tin cậy: Chỉ tải ứng dụng từ Google Play Store hoặc các cửa hàng ứng dụng chính thức khác. Tránh các liên kết tải xuống từ tin nhắn không rõ nguồn gốc (SMS, WhatsApp, email).
• Kiểm tra quyền ứng dụng: Luôn xem xét kỹ lưỡng các quyền mà ứng dụng yêu cầu trước khi cài đặt, đặc biệt là quyền truy cập Dịch vụ trợ năng.
• Cập nhật hệ điều hành và ứng dụng: Đảm bảo hệ điều hành Android và tất cả ứng dụng được cập nhật lên phiên bản mới nhất để vá các lỗ hổng bảo mật.
• Sử dụng giải pháp bảo mật di động: Cài đặt và duy trì các phần mềm bảo mật uy tín trên thiết bị Android của bạn.
• Kích hoạt xác thực đa yếu tố (MFA): Mặc dù Albiriox có thể bỏ qua 2FA trong một số trường hợp, MFA vẫn là một lớp bảo vệ quan trọng chống lại nhiều loại tấn công khác.
• Giáo dục người dùng: Nâng cao nhận thức về các cuộc tấn công lừa đảo (phishing) và kỹ thuật xã hội để tránh nhấp vào các liên kết độc hại.