Trong bối cảnh xung đột leo thang, chiến dịch mã độc RedAlert đã tận dụng nỗi sợ hãi của dân thường bằng cách tạo ra một phiên bản ứng dụng khẩn cấp giả mạo. Mục tiêu chính là thu thập thông tin tình báo nhạy cảm từ các thiết bị di động thông qua biến thể của mã độc RedAlert này.

Phân phối và Kỹ thuật Tấn công Smishing

Kẻ tấn công đã phát tán ứng dụng giả mạo dưới dạng tệp Android độc hại có tên RedAlert.apk. Phương thức lây nhiễm chính là thông qua các tin nhắn tấn công smishing mạo danh Bộ Chỉ huy Hậu phương.

Tin nhắn này lừa người dùng cài đặt ứng dụng bên ngoài Google Play Store. Ứng dụng “Red Alert” chính thức chỉ có trên Google Play Store.

Chiến dịch này buộc nạn nhân phải cài đặt thủ công (sideload) APK độc hại, qua đó bỏ qua các biện pháp bảo vệ cài đặt tích hợp của Android. Giao diện giả mạo giống hệt ứng dụng gốc, khiến nạn nhân không hề nghi ngờ.

Phân tích Kỹ thuật Mã độc RedAlert và Cơ chế Nhiều Giai đoạn

Các nhà phân tích của CloudSEK đã xác định chiến dịch này thông qua kỹ thuật dịch ngược tĩnh và động của APK. Họ phát hiện ra một cơ chế lây nhiễm nhiều lớp được xây dựng để tránh bị phát hiện trong khi âm thầm thu thập dữ liệu nhạy cảm. Tham khảo phân tích chi tiết từ CloudSEK.

Đáng chú ý, mã độc RedAlert yêu cầu các quyền truy cập rủi ro cao. Các quyền này bao gồm truy cập SMS, danh bạ và vị trí GPS chính xác. Chúng được ngụy tạo là cần thiết cho chức năng cảnh báo khẩn cấp của ứng dụng.

Ngay khi một quyền được cấp, mô-đun thu thập dữ liệu liên quan sẽ kích hoạt ngay lập tức. Dữ liệu được thu thập sẽ được lưu trữ cục bộ trước khi truyền đến các máy chủ do kẻ tấn công kiểm soát thông qua yêu cầu HTTP POST tới https://api[.]ra-backup[.]com/analytics/submit.php.

Chiến dịch gián điệp di động này có những hậu quả vượt xa việc đánh cắp dữ liệu thông thường. Bằng cách theo dõi liên tục tọa độ GPS của các thiết bị bị nhiễm trong các cuộc không kích, kẻ tấn công thu thập thông tin tình báo về sự di chuyển của dân thường.

Dữ liệu này có thể được dùng để lập bản đồ vị trí nơi trú ẩn, theo dõi các nhóm dân cư di tản, hoặc xác định sự tập trung của quân nhân dự bị. Việc chặn toàn bộ hộp thư SMS cũng mở ra con đường cho đối thủ bỏ qua xác thực hai yếu tố (2FA) và thực hiện các hoạt động tuyên truyền sai lệch có mục tiêu.

CloudSEK phân loại đây là một mối đe dọa nghiêm trọng đối với an ninh chiến lược và vật lý, không phải là một sự cố phần mềm gián điệp thông thường. Thiết kế kỹ thuật đằng sau RedAlert.apk cho thấy một payload đa giai đoạn có chủ đích nhằm ẩn mình khỏi cả người dùng và các công cụ bảo mật.

Cơ chế Payload Đa Giai đoạn của Mã độc RedAlert

Giai đoạn 1: Vỏ bọc APK Ngụy trang

Vỏ APK bên ngoài hoạt động như một thiết bị che giấu. Sử dụng kỹ thuật Package Manager Hooking, mã độc khai thác Java Reflection để chặn các lệnh gọi hệ thống, vốn thường sẽ tiết lộ chứng chỉ ký thực của nó.

Thay vào đó, nó trả về một chứng chỉ được mã hóa cứng giả mạo thông tin xác thực năm 2014 của ứng dụng Bộ Chỉ huy Hậu phương chính thức. Đây là chứng chỉ SHA256withRSA, RSA 2048-bit do một thực thể cấp.

Mã độc cũng buộc hệ thống báo cáo ứng dụng được cài đặt từ Google Play Store, mặc dù nạn nhân đã cài đặt thủ công.

Giai đoạn 2: Trích xuất và Tải Dalvik Executable

Giai đoạn này trích xuất một tệp ẩn có tên “umgdn“. Tệp này được lưu trữ không có phần mở rộng tệp bên trong thư mục assets của APK. Nó được tải vào bộ nhớ dưới dạng Dalvik Executable.

Thao tác này chuyển quyền thực thi ra ngoài tầm quét của các trình quét bảo mật tĩnh.

Giai đoạn 3: Kích hoạt Payload Cuối cùng

Giai đoạn này triển khai payload cuối cùng, “DebugProbesKt.dex“. Nó kích hoạt bộ phần mềm gián điệp đầy đủ và thiết lập giao tiếp lệnh và kiểm soát (C2) với hạ tầng của kẻ tấn công.

Các Biện pháp Đối phó và Phòng ngừa Mã độc RedAlert

Đối với người dùng cuối

Người dùng nghi ngờ lây nhiễm nên gỡ bỏ ngay lập tức ứng dụng RedAlert giả mạo. Sau đó, thực hiện khôi phục cài đặt gốc (factory reset) hoàn chỉnh. Tránh khôi phục bất kỳ bản sao lưu nào được tạo sau ngày lây nhiễm ban đầu.

Đối với quản trị viên mạng và nhóm bảo mật

Chặn tất cả lưu lượng DNS và HTTPS đến api.ra-backup[.]com. Thêm vào danh sách đen (blacklist) các địa chỉ IP C2 đã xác định, đặc biệt là 216.45.58[.]148.

Các chính sách Quản lý Thiết bị Di động (MDM) phải cấm cài đặt ứng dụng từ các nguồn không xác định (app sideloading). Các nhóm bảo mật cũng nên gắn cờ bất kỳ ứng dụng nào đồng thời giữ các quyền READ_SMS, READ_CONTACTS và ACCESS_FINE_LOCATION.

Các tổ chức nên đưa ra cảnh báo ngay lập tức cho nhân viên về các cuộc tấn công smishing theo chủ đề xung đột để phòng ngừa mã độc RedAlert.

Các Chỉ số Thỏa hiệp (IOCs) của Mã độc RedAlert

Các chỉ số thỏa hiệp (IOCs) sau đây liên quan đến chiến dịch mã độc RedAlert.

• Tên tệp APK độc hại: RedAlert.apk
• Payload Dalvik Executable ẩn: umgdn
• Payload cuối cùng: DebugProbesKt.dex
• URL máy chủ C2: https://api[.]ra-backup[.]com/analytics/submit.php
• Tên miền C2: api.ra-backup[.]com
• Địa chỉ IP C2: 216.45.58[.]148
• Các quyền ứng dụng bị lạm dụng: READ_SMS, READ_CONTACTS, ACCESS_FINE_LOCATION