Nhóm nghiên cứu ThreatLabz của Zscaler đã phát hiện những tiến bộ đáng kể trong mã độc Anatsa, còn được biết đến với tên gọi TeaBot. Đây là một trojan ngân hàng Android đã hoạt động từ năm 2020. Ban đầu, Anatsa được thiết kế để đánh cắp thông tin đăng nhập, ghi lại thao tác bàn phím (keylogging) và tạo điều kiện cho các giao dịch gian lận. Với sự lột xác này, Anatsa đã trở thành một mối đe dọa mạng tinh vi hơn, hiện nhắm mục tiêu vào hơn 831 tổ chức tài chính trên toàn cầu.

Sự mở rộng này bao gồm các khu vực mới như Đức và Hàn Quốc, cùng với các nền tảng tiền điện tử. Đây là một sự gia tăng đáng kể so với phạm vi trước đây của nó, chỉ khoảng 650 mục tiêu chủ yếu ở Châu Âu, Mỹ và Anh.

Chiến lược phân phối và tấn công mạng của Anatsa

Những kẻ đứng sau mã độc Anatsa sử dụng các ứng dụng mồi nhử, ngụy trang dưới dạng các công cụ vô hại như trình đọc tài liệu hoặc trình quản lý tệp. Các ứng dụng này được phân phối thông qua Google Play Store.

Ứng dụng mồi nhử và cơ chế thả tải trọng (dropper)

Các ứng dụng dropper này trông có vẻ hợp pháp khi cài đặt. Tuy nhiên, chúng sẽ bí mật tìm nạp các tải trọng độc hại từ các máy chủ chỉ huy và kiểm soát (C2), ngụy trang dưới dạng các bản cập nhật để né tránh cơ chế phát hiện của Google.

Trong một thay đổi đáng chú ý so với các biến thể trước đây, phiên bản mã độc Anatsa mới nhất đã hợp lý hóa việc phân phối tải trọng. Nó loại bỏ việc tải mã động các tệp Dalvik Executable (DEX) từ xa và thay vào đó là cài đặt trực tiếp, giúp tăng cường hiệu quả và khả năng ẩn mình.

Cơ chế chống phân tích và né tránh phát hiện xâm nhập

Anatsa tích hợp cơ chế giải mã trong thời gian chạy (runtime decryption) sử dụng chuẩn mã hóa dữ liệu (DES) với các khóa được tạo động. Điều này khiến các chuỗi dữ liệu trở nên khó phân tích tĩnh.

Bên cạnh đó, mã độc Anatsa còn triển khai các hạn chế cụ thể theo thiết bị và kiểm tra môi trường mô phỏng để ngăn chặn các môi trường phân tích động. Điều này đảm bảo malware chỉ kích hoạt trên các thiết bị mục tiêu thực sự.

Nếu các kiểm tra này thất bại, ứng dụng sẽ trở lại giao diện quản lý tệp vô hại, duy trì vỏ bọc của mình. Đi sâu hơn vào cấu tạo kỹ thuật, mã độc Anatsa hiện có các cải tiến chống phân tích.

Kỹ thuật làm hỏng tệp APK và ẩn giấu payload

Chúng bao gồm một tệp lưu trữ APK ZIP bị hỏng với các cờ nén và mã hóa không hợp lệ. Kỹ thuật này gây khó khăn cho các công cụ phân tích tĩnh tiêu chuẩn dựa vào xác thực tiêu đề ZIP của Java. Mặc dù bị biến dạng, tệp APK vẫn thực thi liền mạch trên các thiết bị Android tiêu chuẩn.

Tải trọng cốt lõi, được ẩn trong một tệp JSON được thả và xóa động sau khi tải, bao gồm một biến thể keylogger đã được cập nhật.

Luồng lây nhiễm và quyền hạn hệ thống

Khi cài đặt, mã độc Anatsa sẽ yêu cầu quyền truy cập (accessibility permissions). Nếu được cấp, các quyền truy cập này sẽ tự động kích hoạt các quyền quan trọng trong manifest như SYSTEM_ALERT_WINDOW, READ_SMS, RECEIVE_SMS, và USE_FULL_SCREEN_INTENT.

Giao tiếp với máy chủ C2

Giao tiếp với các máy chủ C2 được mã hóa bằng khóa XOR một byte đơn giản (thập phân 66). Dữ liệu cấu hình được truyền tải dưới định dạng JSON, bao gồm danh sách tên miền, chi tiết phiên bản cho các inject và keylogger, cùng với các bộ lệnh.

Mã độc Anatsa đánh cắp thông tin đăng nhập bằng cách phủ lên các trang đăng nhập giả mạo được tùy chỉnh theo các ứng dụng ngân hàng bị phát hiện. Các trang này được tải xuống từ máy chủ C2.

Phân tích cho thấy rằng trong khi Anatsa nhắm mục tiêu vào 831 ứng dụng để ghi lại thao tác bàn phím, nhiều trang inject vẫn chưa hoàn thiện hoặc đang được phát triển, ví dụ như một thông báo bảo trì tạm thời cho ứng dụng Robinhood.

Tên gói và hash cài đặt thường xuyên được xoay vòng để tránh các cơ chế phát hiện dựa trên mẫu trên các hệ thống bị nhiễm. Nhiều ứng dụng mồi nhử đã vượt quá 50.000 lượt tải xuống riêng lẻ, làm tăng phạm vi đe dọa của mã độc Anatsa.

Chỉ số lây nhiễm (IoCs) và Đề xuất

Dựa trên phân tích từ Zscaler ThreatLabz, dưới đây là một số chỉ số lây nhiễm (IoCs) liên quan đến mã độc Anatsa:

Tên gói ứng dụng độc hại (Package Names)

• com.document.pdfreader.pdfviewer.viewer
• com.power.cleaner.optimize.speedup
• com.pdf.document.reader.scannar.pro
• com.pdf.reader.viewer.document.scanner
• com.scan.pdfreader.viewer.document
• com.file.explorer.manager.plus
• com.document.manager.pro.scan

URL máy chủ Chỉ huy và Kiểm soát (C2)

• hxxps://loremipsum.live/anatsa/api/
• hxxps://alohomora.pro/anatsa/api/
• hxxps://lumos.lol/anatsa/api/
• hxxps://crucio.sbs/anatsa/api/
• hxxps://nox.bar/anatsa/api/

Bạn có thể tham khảo thêm chi tiết về nghiên cứu này tại báo cáo của Zscaler ThreatLabz.

Bối cảnh mối đe dọa rộng hơn và khuyến nghị phòng ngừa

Ngoài mã độc Anatsa, ThreatLabz đã báo cáo 77 ứng dụng độc hại từ nhiều họ khác nhau cho Google, với tổng cộng hơn 19 triệu lượt cài đặt. Các xu hướng cho thấy sự gia tăng của phần mềm quảng cáo (adware) cùng với các trojan như Joker, Harly và Anatsa, trong khi các họ như Facestealer và Coper đang suy giảm.

Các danh mục mồi nhử phổ biến bao gồm các công cụ năng suất, trình quản lý tệp và ứng dụng giải trí, tất cả đều bị lợi dụng để phân phối mã độc. Những cải tiến chống phân tích và việc mở rộng mục tiêu của mã độc Anatsa nhấn mạnh những rủi ro ngày càng tăng đối với người dùng Android, đòi hỏi sự xem xét kỹ lưỡng các quyền ứng dụng và sự phù hợp với chức năng của chúng. Người dùng cần luôn cảnh giác khi cấp quyền cho các ứng dụng.