Một chiến dịch tấn công Android mới được xác định đang nhắm mục tiêu một cách quyết liệt vào người dùng Ấn Độ. Chiến dịch này giả mạo chương trình chính phủ hợp pháp PM Surya Ghar: Muft Bijli Yojana, một sáng kiến được phê duyệt vào tháng 2 năm 2024 nhằm cung cấp trợ cấp lắp đặt hệ thống năng lượng mặt trời áp mái. Kẻ tấn công lợi dụng chương trình phổ biến này để lừa nạn nhân cài đặt mã độc, hứa hẹn cung cấp các đơn vị điện miễn phí thông qua một ứng dụng di động giả mạo.

Tổng quan về Chiến dịch Tấn công Android PM Surya Ghar

Cuộc tấn công bắt đầu bằng các video YouTube quảng bá chương trình trợ cấp. Các video này nhúng các URL rút gọn trong mô tả, chuyển hướng người dùng đến một trang web lừa đảo được lưu trữ trên GitHub. Trang web giả mạo này được thiết kế tỉ mỉ để bắt chước cổng thông tin chính thức tại pmsuryaghar.gov.in.

Trang web giả mạo chứa các hướng dẫn đăng ký gây hiểu lầm và một biểu tượng Google Play đánh lừa. Khi nhấp vào biểu tượng này, một tệp APK sẽ được tải xuống từ cùng một kho lưu trữ GitHub, thay vì từ cửa hàng ứng dụng chính hãng. Kho lưu trữ này đã hoạt động từ tháng 10 năm 2024 với các bản cập nhật thường xuyên, lưu trữ cả mã nguồn trang lừa đảo và mã độc, lợi dụng tính hợp pháp của GitHub để né tránh việc phát hiện ban đầu.

Kỹ thuật Phân phối và Lừa đảo Ứng dụng

Sau khi tải xuống, tệp APK ban đầu có tên là PMBY sẽ nhúng một tệp APK độc hại thứ cấp tại assets/app.apk, được gọi là PMMBY. Tệp này được cài đặt dưới vỏ bọc của một “Cập nhật Bảo mật” giả mạo. Để làm phức tạp các công cụ quét chống virus dựa trên đám mây, quá trình cài đặt yêu cầu người dùng tắt dữ liệu di động hoặc Wi-Fi. Tuy nhiên, các giải pháp tiên tiến như McAfee Mobile Security vẫn có thể phát hiện mối đe dọa này ngay cả khi ngoại tuyến.

Mã độc PMMBY và Các Quyền Hạn Độc Hại

Khi được cài đặt, PMMBY yêu cầu các quyền truy cập xâm phạm. Các quyền này bao gồm READ_CONTACTS để truy cập danh bạ, CALL_PHONE để quản lý cuộc gọi, READ_SMS và SEND_SMS để chặn và gửi tin nhắn. Ngoài ra, mã độc còn yêu cầu quyền truy cập thông báo để thực hiện các hành vi spam tiềm năng hoặc che giấu hoạt động.

Khi khởi chạy, mã độc hiển thị một giao diện người dùng giả mạo. Giao diện này yêu cầu nạn nhân chọn nhà cung cấp điện từ một danh sách, hiển thị bằng cả tiếng Anh và tiếng Hindi với các thông điệp hấp dẫn về việc nhận 300 đơn vị điện miễn phí hàng tháng. Tiếp theo, nạn nhân sẽ được chuyển đến một biểu mẫu đăng ký giả mạo yêu cầu số điện thoại và khoản thanh toán tượng trưng ₹1 thông qua quy trình “UPI-Lite” mô phỏng. Tại đây, người dùng nhập các chi tiết ngân hàng nhạy cảm và mã PIN UPI.

Kỹ thuật Exfiltration và Đánh cắp Dữ liệu

Trong nền, ứng dụng này tải các URL động thông qua một yêu cầu HTTPS tới rebrand.ly/dclinkto2. Nó truy xuất các điểm cuối như sqcepo.replit.app/gate.htm để tải một biểu mẫu HTML giả mạo và sqcepo.replit.app/addsm.php để tải lên các tin nhắn SMS bị chặn. Thông tin xác thực UPI được truyền tải đến sqcepo.replit.app/addup.php, cho phép kẻ tấn công rút tiền từ tài khoản ngân hàng của nạn nhân.

Chỉ số Thỏa hiệp (IOCs)

• Tên tệp APK: PMBY, PMMBY
• URL Phishing:https://gbhackers.com/phishing-group-busted/ (chuyển hướng từ URL rút gọn trên YouTube, đến một kho lưu trữ GitHub)
• Máy chủ C2/Exfiltration:
  • rebrand.ly/dclinkto2
  • sqcepo.replit.app/gate.htm
  • sqcepo.replit.app/addsm.php
  • sqcepo.replit.app/addup.php

Cơ chế Tự lan truyền và Điều khiển từ xa

Ngoài hành vi trộm cắp tài chính, PMMBY còn tham gia vào quá trình tự lan truyền. Mã độc này thu thập danh bạ và gửi tin nhắn smishing hàng loạt để quảng bá chiêu lừa đảo. Đồng thời, nó giám sát các tin nhắn SMS đến, tải lên số người gửi, nội dung tin nhắn, chi tiết khe cắm SIM và một định danh thiết bị duy nhất lên máy chủ từ xa. Việc này có khả năng nhằm mục đích thu thập mã xác thực hai yếu tố (2FA).

Kiểm soát từ xa được thực hiện thông qua Firebase Cloud Messaging (FCM). Các lệnh được gửi dựa trên giá trị “_type” để thực hiện các hành động như cập nhật cấu hình hoặc kích hoạt các hành vi độc hại tiếp theo. Mối đe dọa đa diện này không chỉ xâm phạm quyền riêng tư và an ninh tài chính của người dùng mà còn biến các thiết bị bị nhiễm thành các vectơ để phát tán rộng hơn.

Biện pháp Đối phó và Khuyến nghị An ninh mạng

Theo báo cáo từ McAfee, được thực hiện trong khuôn khổ App Defense Alliance, các ứng dụng độc hại này đã được báo cáo cho Google. Kết quả là tài khoản FCM liên quan đã bị chặn. GitHub cũng đã được thông báo, dẫn đến việc xóa kho lưu trữ chứa mã độc và trang lừa đảo. Đây là ví dụ điển hình về một cuộc tấn công mạng được dàn dựng công phu.

Người dùng được khuyến nghị kích hoạt McAfee Mobile Security để phát hiện các mối đe dọa rủi ro cao. Quan trọng hơn, việc xác minh các chương trình trợ cấp chỉ nên được thực hiện thông qua các kênh chính thức để tránh các cuộc tấn công kỹ thuật xã hội được dàn xếp phức tạp như chiến dịch lừa đảo Android này. Việc cập nhật bản vá bảo mật và nâng cao nhận thức là cần thiết để bảo vệ hệ thống khỏi những mối đe dọa mới nhất.