Các nhà nghiên cứu an ninh mạng đã ghi nhận sự tái bùng nổ của các chiến dịch mã độc SpyNote, nhắm mục tiêu tinh vi vào người dùng Android thông qua các trang web giả mạo Google Play Store. Đây là một tin tức an ninh mạng quan trọng, làm nổi bật mối đe dọa dai dẳng và ngày càng phức tạp đối với bảo mật thiết bị di động.

Tác nhân độc hại đứng sau các cuộc tấn công này đã triển khai các kỹ thuật chống phân tích mới cùng với việc mở rộng đáng kể các chiến thuật lừa đảo. Điều này cho thấy một sự kiên trì trong việc gây ra các rủi ro bảo mật nghiêm trọng.

Phương thức lây nhiễm và phân phối mã độc SpyNote

Kẻ tấn công tiếp tục vận hành các trang Google Play Store giả mạo, chúng được thiết kế để bắt chước hoàn hảo giao diện cài đặt ứng dụng hợp pháp. Việc này được thực hiện thông qua việc sao chép mã HTML và CSS từ các trang chính thức.

Kỹ thuật giả mạo Google Play Store

Các trang web lừa đảo này nhắm mục tiêu vào người dùng đang tìm kiếm các ứng dụng phổ biến trên nhiều danh mục. Chúng bao gồm các nền tảng mạng xã hội như iHappy và CamSoda, các ứng dụng trò chơi như 8 Ball Pool và Block Blast, cùng các ứng dụng tiện ích như Chrome và trình quản lý tệp.

Cơ sở hạ tầng độc hại đã cho thấy các mẫu tấn công nhất quán trên nhiều chỉ số khác nhau, chứng tỏ sự đầu tư của kẻ tấn công vào chiến dịch này.

Cơ chế lây nhiễm ban đầu

Khi người dùng nhấp vào nút “Install” trên các trang giả mạo, các chức năng JavaScript độc hại sẽ tự động kích hoạt quá trình tải xuống. Các tệp APK độc hại được tải về trực tiếp từ các trang web lừa đảo mà không qua Google Play Store chính thức, bỏ qua các lớp bảo vệ tiêu chuẩn.

Kiến trúc kỹ thuật và chiến thuật tấn công mạng của SpyNote

Các mẫu mã độc SpyNote mới nhất sử dụng một quy trình lây nhiễm đa giai đoạn tinh vi. Quy trình này được thiết kế đặc biệt để né tránh sự phát hiện của các giải pháp an ninh và phân tích ứng dụng.

Quy trình lây nhiễm đa giai đoạn và giải mã payload

Tệp APK dropper ban đầu chứa các tài sản được mã hóa. Để giải mã các tài sản này, mã độc yêu cầu một khóa AES 16-byte. Khóa này được tạo ra một cách động từ tên gói manifest của ứng dụng được cài đặt.

Trong các mẫu được phân tích, tên gói “rogcysibz.wbnyvkrn.sstjjs” đã tạo ra khóa giải mã là “62646632363164386461323836333631”. Khóa này là yếu tố thiết yếu để trích xuất payload chính của mã độc SpyNote. Dropper kết hợp các tệp được mã hóa từ thư mục assets/base, giải mã chúng bằng thuật toán AES, sau đó giải nén kết quả để lộ toàn bộ payload.

Kỹ thuật tiêm mã DEX Element Injection

Mã độc SpyNote tận dụng kỹ thuật DEX Element Injection. Đây là một phương pháp tiêm mã độc hại vào môi trường Android bằng cách sửa đổi ClassLoader tại thời gian chạy. Kỹ thuật này ép buộc hệ điều hành phải ưu tiên thực thi mã độc hại hơn các chức năng ứng dụng hợp pháp. Từ đó, SpyNote có thể chiếm quyền kiểm soát hành vi ứng dụng và chặn các dữ liệu nhạy cảm của người dùng.

Chiến lược làm xáo trộn mã (Obfuscation)

Các phiên bản gần đây của mã độc SpyNote đã tích hợp các kỹ thuật làm xáo trộn phức tạp. Chúng bao gồm làm xáo trộn luồng điều khiển (control flow obfuscation) và làm xáo trộn định danh (identifier obfuscation).

Kỹ thuật này sử dụng các biến thể ngẫu nhiên của các ký tự “o,” “O,” và “0” xuyên suốt mã nguồn, làm cho việc đọc và hiểu mã trở nên cực kỳ khó khăn. Điều này làm phức tạp đáng kể các nỗ lực phân tích tĩnh của các nhà nghiên cứu bảo mật và các hệ thống phát hiện tự động, giúp mã độc tránh bị phát hiện.

Khả năng gián điệp và kiểm soát của mã độc SpyNote

Theo báo cáo chi tiết từ DomainTools, mã độc SpyNote hoạt động như một Trojan truy cập từ xa (RAT – Remote Access Trojan) toàn diện, sở hữu các khả năng giám sát và kiểm soát thiết bị đáng báo động. Phân tích chuyên sâu về SpyNote Malware (Part 2) cung cấp cái nhìn sâu sắc về những tính năng này.

Các tính năng giám sát và thu thập dữ liệu

• Điều khiển thiết bị: Có khả năng điều khiển camera và micro của thiết bị từ xa, cho phép kẻ tấn công thu thập hình ảnh và âm thanh trực tiếp từ môi trường của nạn nhân.
• Quản lý cuộc gọi: Quản lý các cuộc gọi điện thoại, bao gồm ghi âm hoặc thực hiện cuộc gọi.
• Thực thi lệnh: Thực thi các lệnh tùy ý trên thiết bị, một dạng của remote code execution (RCE), cho phép kẻ tấn công kiểm soát hoàn toàn hệ thống.
• Keylogging: Chức năng ghi lại thao tác bàn phím (keylogging) nhắm mục tiêu cụ thể vào thông tin đăng nhập ứng dụng, bao gồm tên người dùng và mật khẩu.
• Đánh cắp 2FA: Lạm dụng Android’s Accessibility Services để đánh cắp mã xác thực hai yếu tố (2FA), vượt qua một lớp bảo mật quan trọng.
• Tấn công chồng lấp (Overlay Attacks): Thực hiện các cuộc tấn công chồng lấp (overlay attacks) để thực hiện clickjacking và hiển thị các giao diện lừa đảo, nhằm thu thập thêm thông tin đăng nhập hoặc các dữ liệu nhạy cảm khác từ người dùng.

Chiếm quyền quản trị và hậu quả nghiêm trọng

Khi được cấp quyền quản trị viên, mã độc SpyNote đạt được khả năng xóa dữ liệu thiết bị từ xa, khóa màn hình hoặc cài đặt các ứng dụng độc hại bổ sung. Điều này gây ra một rủi ro bảo mật cực kỳ nghiêm trọng đối với quyền riêng tư cá nhân và an toàn tài chính của người dùng, có thể dẫn đến mất mát dữ liệu hoặc chiếm đoạt tài khoản.

Chỉ số thỏa hiệp (IOCs) của SpyNote

Để hỗ trợ các nỗ lực phòng thủ và phát hiện kịp thời các cuộc tấn công mạng liên quan đến mã độc SpyNote, dưới đây là một số chỉ số thỏa hiệp (IOCs) quan trọng:

• Tên gói ứng dụng mẫu (Package Name):

  rogcysibz.wbnyvkrn.sstjjs

• Khóa giải mã AES (dạng hex):

  62646632363164386461323836333631

• Kênh phân phối: Các trang web giả mạo Google Play Store (luôn cảnh giác với các URL không chính thức và không tin cậy).

Khuyến nghị và biện pháp phòng chống

Để tăng cường an toàn thông tin cho người dùng di động, các chuyên gia an ninh khuyến nghị cần có những hành động đồng bộ từ nhiều phía. Các nhà phát triển trình duyệt web cần tăng cường cơ chế phát hiện và cảnh báo các trang web độc hại.

Các nhà cung cấp giải pháp bảo mật Android phải nâng cao khả năng phân tích ứng dụng tự động để nhận diện các biến thể mã độc mới. Hơn nữa, các nhà cung cấp VPN di động nên tích hợp tính năng lọc cấp độ mạng để ngăn chặn truy cập vào các máy chủ điều khiển và ra lệnh (C2) của mã độc.

Bản chất dai dẳng và liên tục phát triển của chiến dịch mã độc SpyNote này một lần nữa nhấn mạnh rủi ro bảo mật mà các RAT di động gây ra cho quyền riêng tư và an ninh tài chính của người tiêu dùng.