Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch kéo dài triển khai mã độc SpyNote cho hệ điều hành Android. Đây là một loại Trojan truy cập từ xa (RAT) tinh vi, được thiết kế để giám sát, đánh cắp dữ liệu và kiểm soát thiết bị từ xa. Hoạt động này giả mạo các trang Google Play Store hợp pháp của các ứng dụng Android phổ biến, lừa người dùng tải xuống các tệp APK độc hại. Chiến dịch mã độc SpyNote này đang gây ra mối đe dọa đáng kể cho người dùng di động.

Chiến dịch này có liên hệ với cùng một tác nhân đe dọa đã được mô tả chi tiết trong báo cáo DomainTools Intelligence (DTI) trước đó vào tháng 4. Nó cho thấy những tiến hóa nhỏ trong chiến thuật, bao gồm sự thay đổi trong độ phân giải IP và các biện pháp chống phân tích nâng cao trong bộ cài đặt (dropper) APK. Cụ thể, các biện pháp này nhằm che chắn tải trọng SpyNote khỏi bị phát hiện bởi các công cụ phân tích tĩnh và động, gây khó khăn cho việc phát hiện xâm nhập và phân tích hành vi của mã độc.

Phương Thức Tấn Công và Lây Nhiễm

Các trang web lừa đảo được thiết kế để trông giống hệt giao diện Google Play Store. Chúng là các bản sao HTML và CSS tĩnh, được lưu trữ trên các tên miền đã đăng ký thông qua các nhà đăng ký như NameSilo, LLC và XinNet Technology Corporation. Kỹ thuật này đánh lừa người dùng tin rằng họ đang tải ứng dụng từ một nguồn đáng tin cậy.

Các trang này phân giải đến các địa chỉ IP liên quan đến các nhà cung cấp như Lightnode Limited và Vultr Holdings LLC, sử dụng máy chủ nginx và chứng chỉ SSL từ các nhà cung cấp như R10 và R11 để tạo vẻ hợp pháp. Các máy chủ tên miền phổ biến là dnsowl[.]com và xincache[.]com, với độ phân giải nổi bật đến các địa chỉ như 154.90.58[.]26 và 199.247.6[.]61.

Các script được nhúng, bao gồm tham chiếu đến unpkg[.]com/[email protected] và các chuỗi bị làm rối như "sBw2N8uateIzRr93vmFze5MF_35vMk5F1wG04L5JcJE", đóng vai trò quan trọng trong cơ chế tải xuống. Khi người dùng nhấp vào nút “Cài đặt” giả mạo, một hàm JavaScript sẽ tạo một iframe ẩn. Iframe này kích hoạt quá trình tải xuống APK mà không điều hướng khỏi trang, giữ cho người dùng trong môi trường lừa đảo mà không nghi ngờ.

Khả Năng của Mã Độc SpyNote

Mã độc SpyNote có nhiều khả năng mở rộng. Nó bao gồm quyền truy cập từ xa vào camera và microphone của thiết bị. Ngoài ra, nó quản lý cuộc gọi, thực thi lệnh và ghi lại thao tác gõ phím (keylogging) để lấy cắp thông tin đăng nhập.

Đặc biệt, nó khai thác các dịch vụ Trợ năng (Accessibility Services) của Android để chặn mã xác thực hai yếu tố (2FA). Điều này cho phép kẻ tấn công vượt qua một lớp bảo mật quan trọng, tăng khả năng chiếm đoạt tài khoản. Khi được cấp quyền quản trị, mã độc SpyNote có thể xóa dữ liệu trên thiết bị nạn nhân, khóa thiết bị từ xa hoặc cài đặt thêm các phần mềm độc hại khác. Điều này định vị nó như một công cụ rủi ro cao cho hoạt động gián điệp và tội phạm tài chính mạng, dẫn đến nguy cơ rò rỉ dữ liệu nhạy cảm và thiệt hại nghiêm trọng cho người dùng.

Chuỗi Thực Thi Mã Độc

Chuỗi thực thi của mã độc SpyNote bắt đầu bằng một dropper APK ban đầu. Ví dụ điển hình là Chrome.apk với SHA-256 là 48aa5f908fa612dcb38acf4005de72b9379f50c7e1bc43a4e64ce274bb7566e8.

Dropper này giải mã một tải trọng được mã hóa bằng khóa AES. Khóa này được lấy từ tên gói của manifest, chẳng hạn như “rogcysibz.wbnyvkrn.sstjjs”, tạo ra khóa “62646632363164386461323836333631”. Dropper sử dụng kỹ thuật DEX Element Injection thông qua reflection để sửa đổi ClassLoader trong thời gian chạy. Điều này giúp chèn mã độc vào trước các phần tử hợp pháp để né tránh phân tích tĩnh và chiếm quyền các chức năng của ứng dụng. Mục đích là chặn dữ liệu người dùng.

Sau đó, dropper này kết hợp và giải mã các tài sản từ các tệp 000 và 001. Các tài sản này được giải nén thành APK cốt lõi của mã độc SpyNote với SHA-256 là 86e8d3716318e9bb63b86aebe185db5db6718cb3ddea7fbafefa8ebfb674b9e8. APK này sau đó tải động một tệp DEX chứa logic điều khiển và ra lệnh (C2).

Các mẫu mã độc gần đây tích hợp các kỹ thuật làm rối luồng điều khiển và mã định danh phức tạp. Chúng sử dụng các biến thể của ‘o’, ‘O’ và ‘0’ để che giấu logic mã, làm cho quá trình dịch ngược và phân tích mã trở nên cực kỳ khó khăn. Kết nối C2 được thiết lập qua các URL WebSocket được chọn từ danh sách tên miền được mã hóa cứng, tăng cường khả năng phục hồi của hệ thống điều khiển và duy trì sự liên lạc với máy chủ của kẻ tấn công.

Cơ Sở Hạ Tầng và Mục Tiêu

Tác nhân đe dọa nhắm mục tiêu vào nhiều ứng dụng giả mạo khác nhau. Bao gồm các nền tảng xã hội như iHappy và CamSoda, các trò chơi như 8 Ball Pool và các tiện ích như Chrome. Điều này cho thấy các cuộc tấn công mạng mang tính cơ hội, động cơ tài chính nhắm vào người tiêu dùng.

Cơ sở hạ tầng vẫn giới hạn ở hai địa chỉ IP chính, với sự luân chuyển nhưng không có sự đa dạng hóa lớn. Mã phân phối có chứa các bình luận tiếng Trung, mặc dù không thể quy kết rõ ràng nguồn gốc.

Chỉ Số Thỏa Hiệp (IOCs)

Dưới đây là các Chỉ Số Thỏa Hiệp (IOCs) liên quan đến chiến dịch mã độc SpyNote này:

• SHA-256 (Dropper APK):48aa5f908fa612dcb38acf4005de72b9379f50c7e1bc43a4e64ce274bb7566e8
• SHA-256 (Core SpyNote APK):86e8d3716318e9bb63b86aebe185db5db6718cb3ddea7fbafefa8ebfb674b9e8
• Địa chỉ IP liên quan:
  • 154.90.58[.]26
  • 199.247.6[.]61
• Tên miền máy chủ tên (Nameservers):
  • dnsowl[.]com
  • xincache[.]com
• Tên miền liên quan đến dropper scripts:
  • unpkg[.]com (cụ thể unpkg[.]com/[email protected])

Khuyến Nghị Bảo Mật

Chiến dịch này nhấn mạnh mối đe dọa lâu dài của các RAT di động thông qua kỹ thuật xã hội. Mặc dù tác nhân này có sự tinh vi kỹ thuật ở mức độ khiêm tốn, nhưng các cuộc tấn công vẫn rất hiệu quả. Để tăng cường an ninh mạng và bảo vệ người dùng, các khuyến nghị bao gồm:

• Tăng cường cảnh báo trình duyệt chống lại các trang web giả mạo.
• Nâng cao khả năng phát hiện của phần mềm chống virus đối với các tệp APK bị làm rối.
• Tích hợp tính năng lọc cấp độ VPN cho các kết nối C2 độc hại để ngăn chặn mã độc SpyNote giao tiếp với máy chủ điều khiển.