Kẻ tấn công đang tận dụng uy tín của quỹ lương hưu nhà nước Indonesia, PT Dana Tabungan dan Asuransi Pegawai Negeri (Persero), hay còn gọi là TASPEN, để triển khai một ứng dụng Android độc hại. Ứng dụng này được ngụy trang thành một cổng thông tin chính thức, thực hiện một tấn công mạng tinh vi nhắm vào hàng triệu người hưu trí và công chức.

Đây là một loại banking trojan và spyware chuyên biệt, được thiết kế để đánh cắp dữ liệu nhạy cảm. Nó khai thác các hệ thống kế thừa và những lỗ hổng phát sinh từ quá trình chuyển đổi kỹ thuật số của Indonesia, tạo ra một mối đe dọa mạng nghiêm trọng.

Phân Tích Kỹ Thuật Cuộc Tấn Công Mạng TASPEN

Mục Tiêu và Dữ Liệu Bị Đánh Cắp

Chiến dịch này nhắm vào các đối tượng dễ bị tổn thương như người hưu trí và công chức, những người ngày càng phụ thuộc vào các dịch vụ kỹ thuật số. Kẻ tấn công tìm cách chiếm đoạt các thông tin quan trọng:

• Thông tin đăng nhập ngân hàng (banking credentials).
• Mật khẩu một lần dựa trên SMS (SMS-based OTPs).
• Thông tin sinh trắc học thông qua quay video khuôn mặt (facial video capture).

Mục tiêu cuối cùng của tấn công mạng này là làm rỗng tài khoản ngân hàng và thu thập thông tin cá nhân sâu rộng của nạn nhân.

Chuỗi Tấn Công và Phương Thức Phân Phối Mã Độc

Hoạt động này bắt chước một cách tinh vi thương hiệu của TASPEN bằng tiếng Bahasa Indonesia. Chuỗi tấn công bắt đầu bằng một trang web lừa đảo (phishing website) thu hút nạn nhân tải xuống tệp APK độc hại.

Kẻ tấn công sử dụng tên miền lừa đảo taspen[.]ahngo[.]cc. Trang này có các nút Google Play giả mạo được vũ khí hóa, kích hoạt tải xuống trực tiếp tệp APK. Đồng thời, các cảnh báo App Store giả mạo bằng tiếng Indonesia được hiển thị để duy trì sự tin cậy, tăng cường tính hiệu quả của tấn công mạng.

Kỹ Thuật Né Tránh Phát Hiện và Cơ Chế Khai Thác

Phần mềm độc hại sử dụng các chiến thuật né tránh tiên tiến để vượt qua các cơ chế phát hiện. Theo báo cáo từ CloudSek, mã độc được đóng gói bằng DPT-Shell để mã hóa DEX.

Trong thời gian chạy, nó tự giải nén, thả một tải trọng ZIP (i111111.zip) chứa các tệp .dex độc hại vào thư mục code_cache của thiết bị. Kỹ thuật này giúp đánh bại phân tích tĩnh, chỉ bộc lộ các thành phần spyware dạng mô-đun khi thực thi. Đây là một điểm nhấn về mức độ phức tạp của mối đe dọa mạng này, cho thấy sự chuẩn bị kỹ lưỡng của kẻ tấn công.

Để tìm hiểu thêm về các chiến dịch malware phức tạp, bạn có thể tham khảo các báo cáo chuyên sâu từ các hãng bảo mật uy tín như CloudSek, nơi cung cấp phân tích chi tiết về các loại hình tấn công mạng tương tự.

Các Thành Phần Chính của Mã Độc Android

Phần mềm độc hại bao gồm nhiều dịch vụ quan trọng, mỗi dịch vụ đảm nhiệm một chức năng cụ thể trong việc đánh cắp dữ liệu và kiểm soát thiết bị, góp phần vào tính toàn diện của tấn công mạng:

• SmsService: Được sử dụng để chặn các mật khẩu một lần (OTPs) được gửi qua SMS, cho phép kẻ tấn công thực hiện các giao dịch gian lận.
• ScreenRecordService: Giám sát và ghi lại hoạt động trên màn hình thiết bị của nạn nhân theo thời gian thực.
• CameraService: Thực hiện hành vi trộm cắp thông tin sinh trắc học bằng cách quay video khuôn mặt, nén và tải lên máy chủ của kẻ tấn công.
• Các lớp ContactData: Thu thập thông tin danh bạ từ thiết bị, hỗ trợ các cuộc tấn công lừa đảo (phishing) tiếp theo.

Giao Tiếp Command and Control (C2) và Rò Rỉ Dữ Liệu

Việc rò rỉ dữ liệu và liên lạc với máy chủ C2 diễn ra theo thời gian thực thông qua hai kênh chính. Đây là khía cạnh cốt lõi của bất kỳ tấn công mạng có tổ chức nào:

• HTTP POST được mã hóa: Dữ liệu được gửi đến rpc.syids.top/x/login. Các yêu cầu này được ngụy trang thành lỗi đăng nhập không thành công với mã HTTP 400, một kỹ thuật nhằm tránh bị phát hiện bởi các hệ thống giám sát mạng.
• Kênh WebSocket: Một kênh wss://rpc.syids.top/x/command được sử dụng để nhận các lệnh C2 tức thì từ kẻ tấn công, đảm bảo khả năng kiểm soát liên tục.

Các kênh giao tiếp này cho phép kẻ tấn công duy trì kiểm soát liên tục và thực hiện các hành vi độc hại sau khi thiết bị bị xâm nhập, dẫn đến nguy cơ rò rỉ dữ liệu nghiêm trọng.

Phân Tích Nguồn Gốc và Biện Pháp Chống Phân Tích Mã Độc

Các dấu vết ngôn ngữ, như thông báo lỗi tiếng Trung giản thể “获取数据失败” (Lỗi khi lấy dữ liệu) và “缺少参数关闭” (Thiếu tham số để đóng), gợi ý rằng kẻ tấn công có thể là người nói tiếng Trung. Điều này có thể liên quan đến các nhóm APT (Advanced Persistent Threat) như Earth Kurma hoặc các tổ chức tội phạm mạng. Sự tinh vi trong tấn công mạng này cho thấy có sự đầu tư đáng kể.

Mã độc cũng tích hợp các biện pháp chống phân tích như phát hiện Frida hooks, gây ra lỗi phân đoạn (segmentation faults) để cản trở các nhà nghiên cứu bảo mật. Tuy nhiên, các kỹ thuật chặn JavaScript tùy chỉnh đã giúp tiết lộ tải trọng JSON ở dạng văn bản thuần túy, xác nhận việc đánh cắp thông tin đăng nhập và siêu dữ liệu thiết bị.

Chỉ Số Nhận Dạng Sự Xâm Nhập (IOCs) của Mối Đe Dọa Mạng này

Các chỉ số nhận dạng sự xâm nhập (IOCs) liên quan đến mối đe dọa mạng này là rất quan trọng cho việc phát hiện và ứng phó kịp thời:

• Tên miền lừa đảo (Phishing Domain): taspen[.]ahngo[.]cc
• Máy chủ Command and Control (C2): rpc.syids.top
• Tải trọng ZIP độc hại: i111111.zip
• Các tệp DEX độc hại: Được tìm thấy trong thư mục code_cache sau khi giải nén.

Việc giám sát liên tục các IOCs này giúp các tổ chức phát hiện sớm các dấu hiệu của tấn công mạng và ngăn chặn thiệt hại.

Tác Động và Khuyến Nghị Phòng Ngừa An Ninh Mạng

Chiến dịch này không chỉ gây ra thiệt hại tài chính mà còn làm xói mòn lòng tin công chúng vào hệ sinh thái kỹ thuật số của Indonesia. Việc nhắm mục tiêu vào người cao tuổi với trình độ hiểu biết kỹ thuật số thấp dẫn đến những tổn thất tài chính lớn, căng thẳng tâm lý và rủi ro hệ thống đáng kể cho các ngân hàng thông qua việc gia tăng các cuộc điều tra gian lận và yêu cầu bồi hoàn.

Ước tính thiệt hại kinh tế có thể lên đến hàng chục triệu đô la, tương tự như các mối đe dọa mạng khu vực khác chống lại các quỹ lương hưu ở Đông Nam Á, bao gồm cả CPF của Singapore. Đây là một minh chứng rõ ràng về nguy cơ rò rỉ dữ liệu ở quy mô lớn.

Biện Pháp Giảm Thiểu và Nâng Cao Bảo Mật Thông Tin

Để chống lại các chiến dịch tương tự và tăng cường an ninh mạng, cần có một phản ứng phối hợp mạnh mẽ giữa các bên liên quan:

• Các cơ quan chính phủ (KOMINFO, BSSN): Cần thiết lập các khuôn khổ gỡ bỏ (takedown) nhanh chóng cho các trang web và ứng dụng độc hại, đồng thời bắt buộc kiểm toán bảo mật ứng dụng định kỳ.
• Các tổ chức tài chính: Nên triển khai các hệ thống phát hiện gian lận dựa trên hành vi và sử dụng các cơ chế chứng thực thiết bị như API Play Integrity của Google để xác minh tính toàn vẹn của ứng dụng.
• Khuyến nghị cho công chúng:
  • Chỉ tải ứng dụng từ các cửa hàng ứng dụng chính thức và đáng tin cậy.
  • Xem xét kỹ lưỡng các quyền mà ứng dụng yêu cầu trước khi cấp phép.
  • Sử dụng phần mềm bảo mật di động (mobile security software) uy tín.

Một phản ứng phối hợp và mạnh mẽ là yếu tố then chốt để bảo vệ cơ sở hạ tầng kỹ thuật số của Indonesia khỏi các mối đe dọa mạng toàn diện như chiến dịch này, đảm bảo bảo mật thông tin cho người dân và hệ thống tài chính.