Nguyễn Tiến Đạt
Intern Writer
Các nhà nghiên cứu an ninh mạng vừa công bố chi tiết về một loại Trojan ngân hàng Android mới có tên là Herodotus. Mã độc này đã được ghi nhận trong các chiến dịch tấn công đang hoạt động, nhắm vào người dùng tại Ý và Brazil để thực hiện các cuộc tấn công chiếm quyền điều khiển thiết bị (Device Takeover - DTO).
Theo báo cáo từ công ty bảo mật ThreatFabric (Hà Lan), điểm đặc biệt và nguy hiểm nhất của Herodotus là nó được thiết kế để "bắt chước hành vi của con người" nhằm vượt qua các hệ thống phát hiện gian lận dựa trên sinh trắc học hành vi (behaviour biometrics detection).
Herodotus được rao bán trên các diễn đàn ngầm từ ngày 7 tháng 9 năm 2025 theo mô hình Malware-as-a-Service (MaaS), quảng cáo khả năng hoạt động trên các thiết bị chạy Android từ phiên bản 9 đến 16. Các chuyên gia đánh giá rằng tuy Herodotus không phải là sự phát triển trực tiếp của một mã độc ngân hàng khác là Brokewell, nhưng nó đã "mượn" một số thành phần của Brokewell, thể hiện qua sự tương đồng trong kỹ thuật làm rối mã (obfuscation) và việc đề cập trực tiếp đến Brokewell trong mã nguồn (ví dụ: "BRKWL_JAVA").
Chiến thuật tinh vi và khả năng mở rộng tấn công
Giống như nhiều mã độc Android khác, Herodotus lạm dụng dịch vụ Trợ năng (Accessibility Services) của hệ điều hành để đạt được mục đích. Nó được phát tán thông qua các ứng dụng giả mạo trình duyệt Google Chrome (tên gói "com.cd3.app"), thường được gửi đến nạn nhân qua SMS lừa đảo (phishing) hoặc các chiêu trò kỹ thuật xã hội khác.
Sau khi cài đặt, mã độc sẽ sử dụng dịch vụ Trợ năng để thực hiện hàng loạt hành vi nguy hiểm:
Tương tác với màn hình: Hiển thị các màn hình che mờ (overlay) để ẩn hoạt động độc hại.
Đánh cắp thông tin: Hiển thị màn hình đăng nhập giả mạo (bogus login screens) đè lên các ứng dụng tài chính để đánh cắp thông tin đăng nhập.
Vượt qua 2FA: Đánh cắp cả các mã xác thực hai yếu tố (2FA) được gửi qua tin nhắn SMS.
Thu thập dữ liệu: Chặn và ghi lại mọi thứ hiển thị trên màn hình.
Chiếm quyền hoàn toàn: Tự cấp thêm các quyền cần thiết, lấy cắp mã PIN/mẫu hình mở khóa màn hình và cài đặt các tệp APK từ xa.
Điểm đột phá của Herodotus chính là khả năng tạo ra độ trễ ngẫu nhiên (từ 300 đến 3.000 mili giây - tức từ 0,3 đến 3 giây) khi thực hiện các hành động từ xa, như nhập văn bản trên thiết bị. Sự ngẫu nhiên này được ThreatFabric nhận định là một nỗ lực của tin tặc nhằm bắt chước tốc độ gõ phím của một người dùng thực tế, qua đó tránh bị phát hiện bởi các giải pháp chống gian lận dựa trên thời gian (timing-based detections) và hành vi tự động.
ThreatFabric cũng thu thập được các trang overlay mà Herodotus sử dụng, nhắm mục tiêu vào các tổ chức tài chính tại Hoa Kỳ, Thổ Nhĩ Kỳ, Vương quốc Anh và Ba Lan, cùng với các ví và sàn giao dịch tiền điện tử. Điều này cho thấy kẻ tấn công đang tích cực mở rộng phạm vi hoạt động. Các nhà nghiên cứu cảnh báo, Herodotus đang được phát triển tích cực, tập trung vào việc duy trì sự hiện diện bên trong các phiên làm việc trực tiếp thay vì chỉ đánh cắp thông tin tĩnh và thực hiện chiếm đoạt tài khoản một lần. (Thehackernews)
Theo báo cáo từ công ty bảo mật ThreatFabric (Hà Lan), điểm đặc biệt và nguy hiểm nhất của Herodotus là nó được thiết kế để "bắt chước hành vi của con người" nhằm vượt qua các hệ thống phát hiện gian lận dựa trên sinh trắc học hành vi (behaviour biometrics detection).
Herodotus được rao bán trên các diễn đàn ngầm từ ngày 7 tháng 9 năm 2025 theo mô hình Malware-as-a-Service (MaaS), quảng cáo khả năng hoạt động trên các thiết bị chạy Android từ phiên bản 9 đến 16. Các chuyên gia đánh giá rằng tuy Herodotus không phải là sự phát triển trực tiếp của một mã độc ngân hàng khác là Brokewell, nhưng nó đã "mượn" một số thành phần của Brokewell, thể hiện qua sự tương đồng trong kỹ thuật làm rối mã (obfuscation) và việc đề cập trực tiếp đến Brokewell trong mã nguồn (ví dụ: "BRKWL_JAVA").
Chiến thuật tinh vi và khả năng mở rộng tấn công
Giống như nhiều mã độc Android khác, Herodotus lạm dụng dịch vụ Trợ năng (Accessibility Services) của hệ điều hành để đạt được mục đích. Nó được phát tán thông qua các ứng dụng giả mạo trình duyệt Google Chrome (tên gói "com.cd3.app"), thường được gửi đến nạn nhân qua SMS lừa đảo (phishing) hoặc các chiêu trò kỹ thuật xã hội khác.
Sau khi cài đặt, mã độc sẽ sử dụng dịch vụ Trợ năng để thực hiện hàng loạt hành vi nguy hiểm:
Tương tác với màn hình: Hiển thị các màn hình che mờ (overlay) để ẩn hoạt động độc hại.
Đánh cắp thông tin: Hiển thị màn hình đăng nhập giả mạo (bogus login screens) đè lên các ứng dụng tài chính để đánh cắp thông tin đăng nhập.
Vượt qua 2FA: Đánh cắp cả các mã xác thực hai yếu tố (2FA) được gửi qua tin nhắn SMS.
Thu thập dữ liệu: Chặn và ghi lại mọi thứ hiển thị trên màn hình.
Chiếm quyền hoàn toàn: Tự cấp thêm các quyền cần thiết, lấy cắp mã PIN/mẫu hình mở khóa màn hình và cài đặt các tệp APK từ xa.
Điểm đột phá của Herodotus chính là khả năng tạo ra độ trễ ngẫu nhiên (từ 300 đến 3.000 mili giây - tức từ 0,3 đến 3 giây) khi thực hiện các hành động từ xa, như nhập văn bản trên thiết bị. Sự ngẫu nhiên này được ThreatFabric nhận định là một nỗ lực của tin tặc nhằm bắt chước tốc độ gõ phím của một người dùng thực tế, qua đó tránh bị phát hiện bởi các giải pháp chống gian lận dựa trên thời gian (timing-based detections) và hành vi tự động.
ThreatFabric cũng thu thập được các trang overlay mà Herodotus sử dụng, nhắm mục tiêu vào các tổ chức tài chính tại Hoa Kỳ, Thổ Nhĩ Kỳ, Vương quốc Anh và Ba Lan, cùng với các ví và sàn giao dịch tiền điện tử. Điều này cho thấy kẻ tấn công đang tích cực mở rộng phạm vi hoạt động. Các nhà nghiên cứu cảnh báo, Herodotus đang được phát triển tích cực, tập trung vào việc duy trì sự hiện diện bên trong các phiên làm việc trực tiếp thay vì chỉ đánh cắp thông tin tĩnh và thực hiện chiếm đoạt tài khoản một lần. (Thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
