Trong những năm gần đây, điện thoại Android ngày càng trở thành mục tiêu ưu tiên của các nhóm tội phạm mạng vì gắn liền trực tiếp với tài chính, danh tính và đời sống số của người dùng. Một chiến dịch tấn công mới được các chuyên gia an ninh mạng phát hiện tại Uzbekistan cho thấy mức độ tinh vi ngày càng cao của mã độc di động, với tâm điểm là một trojan đánh cắp SMS có tên Wonderland.
Theo báo cáo phân tích mới công bố của Group-IB, các đối tượng tấn công đã thay đổi hoàn toàn chiến thuật phát tán mã độc, chuyển từ các file APK độc hại “lộ liễu” sang các ứng dụng trung gian (dropper) được ngụy trang như ứng dụng hợp pháp, khiến người dùng rất khó nhận biết.
Theo báo cáo phân tích mới công bố của Group-IB, các đối tượng tấn công đã thay đổi hoàn toàn chiến thuật phát tán mã độc, chuyển từ các file APK độc hại “lộ liễu” sang các ứng dụng trung gian (dropper) được ngụy trang như ứng dụng hợp pháp, khiến người dùng rất khó nhận biết.
Wonderland là ai, đến từ đâu?
Wonderland, trước đây có tên là WretchedCat, là một loại Android SMS stealer chuyên đánh cắp tin nhắn, đặc biệt là các mã xác thực một lần (OTP) được ngân hàng và dịch vụ tài chính gửi tới người dùng. Đứng sau chiến dịch này là một nhóm tội phạm mạng có động cơ tài chính được các nhà nghiên cứu đặt tên là TrickyWonders.
Chiến dịch được ghi nhận lần đầu vào tháng 11/2023 và đến nay vẫn đang tiếp tục mở rộng. Mục tiêu chính của nhóm đang là người dùng Android tại Uzbekistan nhưng cách thức và mô hình hoạt động cho thấy hoàn toàn có thể được sao chép sang các khu vực khác.
Chiến dịch được ghi nhận lần đầu vào tháng 11/2023 và đến nay vẫn đang tiếp tục mở rộng. Mục tiêu chính của nhóm đang là người dùng Android tại Uzbekistan nhưng cách thức và mô hình hoạt động cho thấy hoàn toàn có thể được sao chép sang các khu vực khác.
Thủ đoạn mới: Ứng dụng “vô hại” nhưng giấu mã độc bên trong
Trước đây, nạn nhân thường bị dụ cài đặt các file APK mà bản thân chúng đã là mã độc. Tuy nhiên, theo các chuyên gia các đối tượng tấn công hiện nay chuyển sang sử dụng dropper, trông có vẻ hoàn toàn hợp pháp nhưng bên trong đã được cài sẵn payload độc hại.
Điểm nguy hiểm nằm ở chỗ, payload này có thể được triển khai ngay trên thiết bị sau khi cài đặt, kể cả khi không có kết nối Internet, giúp né tránh nhiều cơ chế giám sát và kiểm tra bảo mật.
Wonderland thường giả dạng Google Play hoặc các tệp tin quen thuộc như video, ảnh, thiệp cưới… nhằm đánh vào tâm lý chủ quan của người dùng.
Điểm nguy hiểm nằm ở chỗ, payload này có thể được triển khai ngay trên thiết bị sau khi cài đặt, kể cả khi không có kết nối Internet, giúp né tránh nhiều cơ chế giám sát và kiểm tra bảo mật.
Wonderland thường giả dạng Google Play hoặc các tệp tin quen thuộc như video, ảnh, thiệp cưới… nhằm đánh vào tâm lý chủ quan của người dùng.
Phát tán bằng mạng xã hội và chính nạn nhân
Con đường lây lan của Wonderland cho thấy mức độ khai thác tâm lý và hành vi người dùng rất cao. Mã độc được phát tán thông qua:
- Các trang web Google Play Store giả mạo
- Quảng cáo trên Facebook
- Hồ sơ giả trên ứng dụng hẹn hò
- Tin nhắn trên Telegram
Đáng chú ý, nhóm tấn công lợi dụng các phiên đăng nhập Telegram bị đánh cắp của người dùng Uzbekistan, được mua bán trên chợ đen, để gửi file APK độc hại trực tiếp tới danh bạ và các cuộc trò chuyện của nạn nhân. Điều này khiến thông điệp lừa đảo trở nên “đáng tin” hơn vì đến từ người quen.
Cách Wonderland chiếm quyền kiểm soát điện thoại
Để cài được ứng dụng, nạn nhân phải bật tính năng cho phép cài app từ nguồn không xác định. Điều này được thực hiện thông qua một màn hình giả mạo thông báo cập nhật, yêu cầu người dùng “cài bản cập nhật để tiếp tục sử dụng ứng dụng”.
Sau khi được cấp quyền, Wonderland bắt đầu hoạt động âm thầm nhưng cực kỳ nguy hiểm. Mã độc này thiết lập kết nối điều khiển hai chiều (C2) với máy chủ của kẻ tấn công, cho phép chúng:
Sau khi được cấp quyền, Wonderland bắt đầu hoạt động âm thầm nhưng cực kỳ nguy hiểm. Mã độc này thiết lập kết nối điều khiển hai chiều (C2) với máy chủ của kẻ tấn công, cho phép chúng:
- Đọc và đánh cắp toàn bộ tin nhắn SMS, đặc biệt là OTP
- Gửi và chặn SMS từ xa
- Thực hiện các lệnh USSD trực tiếp để thao tác với tài khoản ngân hàng
- Thu thập danh bạ, số điện thoại, thông tin thiết bị
- Ẩn thông báo để người dùng không thấy cảnh báo bảo mật
- Gửi SMS từ máy nạn nhân để lây nhiễm sang người khác
Đặc biệt, sau khi kiểm soát được SMS, kẻ tấn công sẽ chiếm đoạt số điện thoại và tìm cách đăng nhập Telegram của nạn nhân, từ đó tiếp tục phát tán mã độc theo chuỗi, tạo ra một vòng lây nhiễm khép kín.
Hạ tầng linh hoạt, tổ chức như doanh nghiệp ngầm
Wonderland không phải là một mã độc đơn lẻ. Nhóm TrickyWonders còn vận hành ít nhất hai họ dropper khác là MidnightDat và RoundRift, được thiết kế để che giấu payload chính đã mã hóa.
Toàn bộ hệ sinh thái tấn công được tổ chức rất bài bản:
Toàn bộ hệ sinh thái tấn công được tổ chức rất bài bản:
- Mỗi bản APK được tạo bằng bot Telegram chuyên dụng
- Mỗi bản build có máy chủ C2 riêng, tránh việc bị “đánh sập hàng loạt”
- Hạ tầng sử dụng domain thay đổi liên tục, làm vô hiệu hóa các cơ chế chặn dựa trên danh sách đen
- Có sự phân vai rõ ràng: chủ nhóm, lập trình viên, người phát tán (workers), và nhóm xác thực thẻ ngân hàng bị đánh cắp
Mô hình này cho thấy tội phạm mạng di động đã phát triển theo hướng “công nghiệp hóa”, không còn là các chiến dịch nhỏ lẻ.
Không chỉ Wonderland: Làn sóng mã độc Android mới đang lan rộng
Báo cáo của Group-IB xuất hiện trong bối cảnh hàng loạt mã độc Android khác cũng đang nổi lên trên toàn cầu.
Cellik là một RAT Android được rao bán công khai trên dark web, cho phép kẻ tấn công điều khiển thiết bị từ xa, theo dõi màn hình, ghi phím, bật camera, microphone và đặc biệt nguy hiểm với tính năng đóng gói mã độc vào ứng dụng Google Play hợp pháp chỉ bằng một cú nhấp chuột.
Frogblight được phát hiện tại Thổ Nhĩ Kỳ, phát tán qua SMS giả mạo giấy tờ tòa án, có khả năng đánh cắp thông tin ngân hàng và đang được phát triển theo mô hình malware-as-a-service.
Tại Ấn Độ, NexusRoute sử dụng các trang web giả mạo dịch vụ chính phủ, dẫn người dùng tải APK từ GitHub, kết hợp lừa đảo tài chính và giám sát sâu thiết bị, cho thấy mức độ đầu tư và chuyên nghiệp vượt xa các chiến dịch lừa đảo thông thường.
Cellik là một RAT Android được rao bán công khai trên dark web, cho phép kẻ tấn công điều khiển thiết bị từ xa, theo dõi màn hình, ghi phím, bật camera, microphone và đặc biệt nguy hiểm với tính năng đóng gói mã độc vào ứng dụng Google Play hợp pháp chỉ bằng một cú nhấp chuột.
Frogblight được phát hiện tại Thổ Nhĩ Kỳ, phát tán qua SMS giả mạo giấy tờ tòa án, có khả năng đánh cắp thông tin ngân hàng và đang được phát triển theo mô hình malware-as-a-service.
Tại Ấn Độ, NexusRoute sử dụng các trang web giả mạo dịch vụ chính phủ, dẫn người dùng tải APK từ GitHub, kết hợp lừa đảo tài chính và giám sát sâu thiết bị, cho thấy mức độ đầu tư và chuyên nghiệp vượt xa các chiến dịch lừa đảo thông thường.
Mức độ nguy hiểm và ảnh hưởng tới người dùng
Các chiến dịch này cho thấy Android đang trở thành mặt trận nóng của tội phạm tài chính, với hậu quả trực tiếp là:
- Mất tiền trong tài khoản ngân hàng
- Lộ thông tin cá nhân, danh bạ, mối quan hệ xã hội
- Bị chiếm quyền tài khoản Telegram, mạng xã hội
- Điện thoại bị biến thành công cụ lây nhiễm cho người khác
Nguy hiểm hơn, nhiều mã độc hiện nay có khả năng điều khiển từ xa theo thời gian thực, biến điện thoại thành một “gián điệp bỏ túi”.
Người dùng cần lưu ý và làm gì để tự bảo vệ?
Trước làn sóng tấn công ngày càng tinh vi, người dùng phổ thông cần đặc biệt cảnh giác với một số dấu hiệu và thói quen sau:
- Không cài ứng dụng từ link lạ, kể cả khi được gửi từ người quen
- Tuyệt đối không bật cài đặt “cho phép cài ứng dụng từ nguồn không xác định” nếu không hiểu rõ rủi ro
- Cảnh giác với các thông báo cập nhật yêu cầu cài file APK bên ngoài Google Play
- Kiểm tra kỹ quyền ứng dụng, đặc biệt là quyền đọc SMS, Accessibility
- Kích hoạt xác thực hai lớp và khóa SIM khi có thể
- Cài phần mềm bảo mật uy tín và luôn cập nhật hệ điều hành
Wonderland không chỉ là một mã độc mà là minh chứng cho sự tiến hóa nhanh chóng của tội phạm mạng di động. Từ các trojan đơn giản, các nhóm tấn công đã xây dựng cả một hệ sinh thái tấn công tinh vi, tổ chức như doanh nghiệp, khai thác sâu hành vi người dùng và các nền tảng phổ biến.
Trong bối cảnh điện thoại ngày càng gắn liền với tài chính và danh tính số, an ninh di động không còn là vấn đề của chuyên gia mà là kỹ năng sống còn của mỗi người dùng. Nếu không thay đổi thói quen và nhận thức, chiếc smartphone quen thuộc rất có thể trở thành cánh cửa mở cho kẻ xấu bước vào đời sống số của chính chúng ta.
Trong bối cảnh điện thoại ngày càng gắn liền với tài chính và danh tính số, an ninh di động không còn là vấn đề của chuyên gia mà là kỹ năng sống còn của mỗi người dùng. Nếu không thay đổi thói quen và nhận thức, chiếc smartphone quen thuộc rất có thể trở thành cánh cửa mở cho kẻ xấu bước vào đời sống số của chính chúng ta.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
