Các chuyên gia an ninh mạng đang chứng kiến sự phát triển không ngừng của Android droppers. Những công cụ này ngày càng được cải tiến để vượt qua các biện pháp bảo mật nâng cao trên hệ điều hành Android. Phạm vi sử dụng của chúng cũng mở rộng, không chỉ dừng lại ở các trojan ngân hàng phức tạp mà còn bao gồm các biến thể mã độc đơn giản hơn như trình đánh cắp tin nhắn SMS và phần mềm gián điệp cơ bản.

Trong lịch sử, droppers đóng vai trò là điểm truy cập ban đầu không gây nghi ngờ. Chúng dùng để triển khai các tải trọng (payloads) yêu cầu quyền hạn cao, đặc biệt là dịch vụ hỗ trợ tiếp cận (Accessibility Services). Điều này trở nên quan trọng hơn sau khi các hạn chế API của Android 13 giới hạn việc cài đặt trực tiếp các ứng dụng có yêu cầu quyền cao.

Sau khi được cài đặt, các Android droppers này sẽ tải về và triển khai các tải trọng độc hại. Chúng né tránh các bản quét ban đầu bằng cách thể hiện một hồ sơ rủi ro tối thiểu, khiến chúng khó bị phát hiện ngay từ đầu.

Sự Tiến Hóa của Android Droppers

Vai trò Ban Đầu và Hạn Chế API

Trước đây, droppers chủ yếu được sử dụng để thiết lập một điểm xâm nhập ban đầu cho các ứng dụng độc hại. Mục tiêu chính là để các tải trọng này có thể yêu cầu và nhận được các quyền đặc biệt.

Đặc biệt, việc khai thác Accessibility Services là một chiến thuật phổ biến. Tuy nhiên, sau khi Android 13 áp dụng các hạn chế nghiêm ngặt hơn về API, việc cài đặt trực tiếp các ứng dụng yêu cầu quyền cao trở nên khó khăn hơn. Điều này đã thúc đẩy sự phát triển của droppers.

Chiến Thuật Né Tránh Mới của Droppers

Những quan sát gần đây cho thấy một sự thay đổi chiến lược đáng kể. Các Android droppers hiện tại có khả năng bọc (encapsulate) cả những mối đe dọa có độ phức tạp thấp. Chúng thường được ngụy trang dưới dạng các ứng dụng hợp pháp, ví dụ như dịch vụ chính phủ hoặc ngân hàng, nhắm mục tiêu vào người dùng ở Ấn Độ và khu vực châu Á rộng lớn hơn.

Cách tiếp cận này, dù có vẻ quá mức cần thiết đối với mã độc không dựa vào các quyền nâng cao, lại giải quyết hai thách thức chính. Thứ nhất, nó tăng cường khả năng né tránh các biện pháp phòng thủ của Google Play Protect. Thứ hai, nó đảm bảo sự linh hoạt trong hoạt động cho các tùy chỉnh và thích ứng trong tương lai.

Thách Thức Từ Chương Trình Pilot của Google trong Phát Hiện Xâm Nhập

Cơ Chế Quét Trước Cài Đặt

Sự gia tăng sử dụng droppers diễn ra song song với Chương trình Pilot của Google. Đây là một sáng kiến nhằm tăng cường bảo vệ gian lận ở các khu vực có rủi ro cao như Ấn Độ, Brazil, Thái Lan và Singapore, với tiềm năng mở rộng trên khắp châu Á.

Chương trình này thực hiện các bản quét theo thời gian thực trước khi cài đặt ứng dụng theo hình thức sideloading. Nó chặn các ứng dụng thể hiện các quyền có rủi ro cao như RECEIVE_SMS, READ_SMS, BIND_NOTIFICATIONS và Accessibility.

Ngoài ra, nó cũng chặn các ứng dụng gọi các API hoặc thể hiện hành vi đáng ngờ. Bằng cách can thiệp trước khi người dùng tương tác, chương trình này nhằm mục đích ngăn chặn việc rò rỉ dữ liệu và thiết bị bị xâm phạm.

Bạn có thể tìm hiểu thêm chi tiết về cơ chế hoạt động của các Android droppers qua bài viết của ThreatFabric: Android Droppers: The Silent Gatekeepers of Malware.

Khai Thác Lỗ Hổng Thời Gian của Droppers

Tuy nhiên, các Android droppers khai thác một lỗ hổng về mặt thời gian. Giai đoạn ban đầu của chúng duy trì một vỏ bọc lành tính, không yêu cầu các quyền rủi ro cao và hiển thị giao diện vô hại, chẳng hạn như lời nhắc cập nhật. Điều này giúp chúng bỏ qua các khối chặn trước cài đặt.

Chỉ khi người dùng tương tác, dropper mới bắt đầu truy xuất hoặc giải mã tải trọng. Sau đó, nó sẽ yêu cầu các quyền cần thiết, thường kích hoạt các cảnh báo thứ cấp mà người dùng có thể bỏ qua.

Các Ví Dụ Nổi Bật về Android Dropper

RewardDropMiner: Từ Đa Năng đến Chuyên Biệt

Một ví dụ nổi bật là RewardDropMiner, một dropper đa giai đoạn. Ban đầu, nó cung cấp phần mềm gián điệp cùng với một công cụ đào tiền điện tử Monero ẩn giấu. Công cụ này có thể cấu hình để sử dụng tải trọng dự phòng nếu việc cài đặt chính không thành công.

Các biến thể gần đây, như RewardDropMiner.B, đã được tinh giản hóa thành chức năng dropper thuần túy. Điều này có lẽ là để giảm thiểu khả năng bị phát hiện sau khi các thành phần khai thác và ví liên quan bị lộ.

Sự thích nghi này cho thấy cách các tác nhân loại bỏ các tính năng để giảm dấu vết pháp y, đồng thời vẫn bảo toàn khả năng né tránh cốt lõi của chúng.

SecuriDropper và Các Biến Thể Khác

Tương tự, các droppers như SecuriDropper tận dụng Session Installer APIs để trì hoãn yêu cầu quyền, qua đó vượt qua các hạn chế của Android 13.

Các họ dropper khác như Zombinder, BrokewellDropper, HiddenCatDropper và TiramisuDropper tạo điều kiện thuận lợi cho việc triển khai mã độc ngân hàng và các biến thể SpyNote thông qua các nền tảng nhắn tin hoặc trang web lừa đảo (phishing sites).

Phân Tích và Đối Phó với Các Cuộc Tấn Công Mạng

Nhu Cầu Phân Tích Hành Vi và Giám Sát Thời Gian Chạy

Những diễn biến này làm nổi bật sự biến đổi của droppers thành các vectơ tấn công linh hoạt. Chúng cho phép ngay cả các mã độc cơ bản cũng có thể điều hướng qua các hàng rào phòng thủ khu vực.

Bằng cách nghiên cứu cơ chế của Chương trình Pilot, kẻ tấn công đã phát triển các droppers với các codebase tín hiệu thấp. Chúng khai thác các khoảng trống thời gian cài đặt, cho phép tải trọng kích hoạt sau khi được chấp thuận.

Động lực “mèo vờn chuột” này đòi hỏi các chiến lược phát hiện thích ứng, bởi vì các bản quét dựa trên quyền tĩnh đã tỏ ra không đủ hiệu quả chống lại các mối đe dọa dàn dựng. Các nhà nghiên cứu bảo mật cần ưu tiên phân tích hành vi và giám sát thời gian chạy để chống lại các chiến thuật phát triển này.

Điều này giúp đảm bảo các biện pháp bảo vệ phát triển song song với những đổi mới của các tác nhân đe dọa.

Tầm Quan Trọng của Phòng Thủ Đa Lớp

Khi các Android droppers ngày càng lan rộng, chúng nhấn mạnh nhu cầu về các biện pháp phòng thủ toàn diện và đa lớp. Điều này nhằm mục đích bảo vệ hệ sinh thái Android khỏi cả các tải trọng mã độc tiên tiến và đơn giản.

Các Loại Mã Độc và Droppers Đáng Chú Ý

Dưới đây là danh sách các loại mã độc và gia đình droppers được đề cập, minh họa cho các mối đe dọa hiện tại:

• Droppers:
  • RewardDropMiner (bao gồm RewardDropMiner.B)
  • SecuriDropper
  • Zombinder
  • BrokewellDropper
  • HiddenCatDropper
  • TiramisuDropper
• Các loại Mã độc được triển khai:
  • Banking Trojans (Trojan ngân hàng)
  • SMS Stealers (Trình đánh cắp tin nhắn SMS)
  • Basic Spyware (Phần mềm gián điệp cơ bản)
  • Monero Cryptocurrency Miner (Công cụ đào tiền điện tử Monero)
  • SpyNote Variants (Các biến thể của SpyNote)