Từ tháng 7 năm 2024, một chủng mã độc Android mới có tên SikkahBot đã âm thầm hoạt động, nhắm mục tiêu rõ ràng vào các sinh viên tại Bangladesh. Mã độc SikkahBot ngụy trang dưới dạng các ứng dụng từ Hội đồng Giáo dục Bangladesh, lừa đảo nạn nhân bằng những lời hứa hẹn về học bổng, buộc họ chia sẻ thông tin nhạy cảm và yêu cầu các quyền truy cập nguy hiểm.

Tổng Quan Về Mã Độc SikkahBot và Các Khả Năng Tấn Công

Sau khi được cài đặt, SikkahBot thu thập dữ liệu cá nhân và tài chính, chặn tin nhắn SMS, lạm dụng Dịch vụ Trợ năng (Accessibility Service) và thực hiện các giao dịch ngân hàng tự động. Các giao dịch này bao gồm cả các hoạt động dựa trên mã USSD, cho thấy mức độ tinh vi của mối đe dọa mạng này.

Phương Thức Lây Nhiễm và Ngụy Trang

Cuộc điều tra của CRIL đã tiết lộ rằng mã độc SikkahBot giả mạo các cổng thông tin học bổng chính thức của Hội đồng Giáo dục Bangladesh. Nạn nhân nhận được các tin nhắn lừa đảo (phishing) chứa các URL rút gọn. Các liên kết này, như hxxps://bit[.]ly/Sikkahbord, hxxps://bit[.]ly/Education-2025 và hxxps://appsloads[.]top/govt[.]apk, sẽ chuyển hướng người dùng đến các trang tải xuống tệp APK độc hại.

Sau khi cài đặt ứng dụng, nó yêu cầu sinh viên đăng nhập bằng tài khoản Google hoặc Facebook. Kế đến, ứng dụng sẽ yêu cầu các thông tin cá nhân như tên, khoa, viện. Ngoài ra, nó còn thu thập thông tin thanh toán bao gồm số ví, mã PIN và loại hình thanh toán. Sau khi hoàn tất đăng ký, người dùng được thông báo rằng một đại diện sẽ liên hệ. Tuy nhiên, tại thời điểm đó, mã độc SikkahBot đã kích hoạt các khả năng độc hại của mình.

Quyền Hạn Nguy Hiểm và Khả Năng Đánh Cắp Dữ Liệu

Khi được cài đặt, SikkahBot hiển thị một màn hình cài đặt, yêu cầu người dùng kích hoạt Dịch vụ Trợ năng (Accessibility Service), cấp quyền truy cập SMS, quản lý cuộc gọi và cho phép overlays. Những quyền truy cập nguy hiểm này cung cấp cho mã độc khả năng kiểm soát thiết bị một cách xâm nhập.

Chặn Tin Nhắn SMS và Giao Tiếp Với Máy Chủ C&C

Mã độc SikkahBot đăng ký một bộ tiếp nhận tin nhắn SMS (SMS broadcast receiver) để theo dõi các tin nhắn đến. Mã độc này tìm kiếm các từ khóa liên quan đến các dịch vụ tài chính như bKash, Nagad, và MYGP. Nó cũng giám sát các số điện thoại như 16216 và 26969. Các tin nhắn được phát hiện sẽ được chuyển tiếp đến máy chủ Firebase của kẻ tấn công tại hxxps://update-app-sujon-default-rtdb[.]firebaseio.com.

Lạm Dụng Dịch Vụ Trợ Năng (Accessibility Service) để Tự Động Hóa Giao Dịch

Bằng cách lạm dụng Dịch vụ Trợ năng, SikkahBot theo dõi hoạt động của người dùng trong ba ứng dụng ngân hàng mục tiêu: bKash, Nagad và Dutch-Bangla Bank. Khi một ứng dụng ngân hàng được khởi chạy, mã độc SikkahBot sẽ truy xuất mã PIN từ máy chủ Firebase. Sau đó, nó tự động chèn mã PIN này vào các trường đăng nhập, qua đó bỏ qua sự tương tác của người dùng.

Thực Hiện Giao Dịch USSD Ngoại Tuyến

Nếu nạn nhân tránh các ứng dụng ngân hàng mục tiêu, SikkahBot sẽ chuyển sang hình thức lừa đảo dựa trên mã USSD. Nó lấy các mã USSD và thông tin chi tiết về khe SIM từ máy chủ Firebase, sau đó khởi tạo cuộc gọi. Mã độc này tự động điền các trường cần thiết vào hộp thoại phản hồi USSD và mô phỏng các thao tác nhấn vào nút “SEND”, “send” hoặc “ok”. Cuộc tấn công ngoại tuyến này cho phép thực hiện các giao dịch mà không cần kết nối internet.

Tiến Hóa và Khả Năng Né Tránh Phát Hiện của Mã Độc SikkahBot

Các mẫu ban đầu của SikkahBot chủ yếu dựa vào lừa đảo (phishing) và chặn SMS để thực hiện gian lận tài chính. Tuy nhiên, từ tháng 9 năm 2025, CRIL đã quan sát thấy những cải tiến đáng kể. Đặc biệt, mã độc đã tích hợp tự động hóa Dịch vụ Trợ năng. Điều này cho thấy chiến thuật của kẻ tấn công đang không ngừng phát triển. Bạn có thể xem thêm chi tiết về sự phát triển của mã độc này tại Cyble’s blog.

Mặc dù tồn tại từ tháng 7 năm 2024, các biến thể của SikkahBot vẫn duy trì tỷ lệ phát hiện thấp trên VirusTotal. Điều này nhấn mạnh khả năng của các tác nhân đe dọa trong việc né tránh các biện pháp bảo mật truyền thống.

Các Chỉ Số Thỏa Hiệp (IOCs) của Mã Độc SikkahBot

Dưới đây là danh sách các Chỉ Số Thỏa Hiệp (IOCs) liên quan đến mã độc SikkahBot:

• URL Phishing/Tải xuống APK:
  • hxxps://bit[.]ly/Sikkahbord
  • hxxps://bit[.]ly/Education-2025
  • hxxps://appsloads[.]top/govt[.]apk
• Máy chủ Firebase C&C:
  • hxxps://update-app-sujon-default-rtdb[.]firebaseio.com

Khuyến Nghị Bảo Mật và Nâng Cao An Ninh Mạng

SikkahBot đại diện cho một chiến dịch tinh vi, đa diện nhằm vào sinh viên Bangladesh dưới vỏ bọc hỗ trợ học bổng. Bằng cách kết hợp lừa đảo, chặn SMS, lạm dụng Dịch vụ Trợ năng và tự động hóa USSD ngoại tuyến, kẻ tấn công có thể thu thập dữ liệu cá nhân, tài chính và thực hiện các giao dịch trái phép.

Hồ sơ phát hiện thấp của mã độc và việc liên tục cập nhật các biến thể cho thấy nhu cầu cấp thiết về tăng cường kiểm soát bảo mật di động, cải thiện khả năng hiển thị mối đe dọa và các chiến lược phòng thủ chủ động. Các tổ chức và cá nhân cần cảnh giác, xem xét kỹ lưỡng các tệp tải xuống liên quan đến học bổng không mong muốn. Đồng thời, người dùng nên hạn chế cấp các quyền truy cập nguy hiểm cho các ứng dụng không xác minh để đảm bảo an ninh mạng.