Duy Linh
Writer
Android.MagicAd là một họ Trojan trên Android được thiết kế để hoạt động bí mật, vượt qua nhiều cơ chế bảo vệ của hệ điều hành nhằm liên tục phân phối quảng cáo từ nền mà người dùng khó nhận biết.
Điểm đáng chú ý là các ứng dụng chứa mã độc này thường chỉ xuất hiện trong thời gian ngắn trên các kho ứng dụng. Sau vài tuần, chúng sẽ bị gỡ bỏ hoặc được thay thế bằng ứng dụng khác. Tuy nhiên, những bản đã được cài đặt trên thiết bị người dùng vẫn tiếp tục hoạt động, giúp các đối tượng vận hành duy trì hoạt động gian lận quảng cáo cũng như sự hiện diện lâu dài trên thiết bị, đồng thời hạn chế nguy cơ bị phát hiện từ phía cửa hàng ứng dụng.
Trước khi triển khai các hành vi độc hại, Android.MagicAd tiến hành nhiều bước kiểm tra môi trường nhằm tránh bị phân tích. Nó tìm kiếm dấu hiệu của máy ảo, đánh giá xem quá trình cài đặt có diễn ra tự nhiên hay không và đối chiếu địa chỉ IP của thiết bị với danh sách đen được chuẩn bị sẵn.
Nếu các điều kiện đều đáp ứng yêu cầu, mã độc sẽ xóa biểu tượng ứng dụng khỏi màn hình, tạo kênh thông báo riêng và khởi chạy nhiều dịch vụ nền để duy trì hoạt động.
Theo báo cáo được Doctor Web chia sẻ với GBHackers, hơn 50 trò chơi phát hành trên GetApps của Xiaomi đã được phát hiện chứa các biến thể của Android.MagicAd. Mã độc này cũng từng xuất hiện trên Samsung Galaxy Store.
Ngoài việc chạy nền liên tục, Android.MagicAd còn thiết lập các tác vụ giám sát để tự động khởi động lại những dịch vụ quan trọng theo định kỳ. Trên các phiên bản Android cũ, nó thậm chí tạo ra màn hình ảo nhằm ngăn hệ thống dừng các tiến trình đang hoạt động.
Một trong những đặc điểm nổi bật nhất của Android.MagicAd là khả năng hiển thị quảng cáo mà không cần sử dụng quyền SYSTEM_ALERT_WINDOW, quyền vốn thường được yêu cầu để tạo các lớp phủ trên màn hình.
Ví dụ về các quảng cáo được hiển thị bởi Android.MagicAd.1 (Nguồn: Doctor Web).
Thay vì phụ thuộc vào quyền này, mã độc áp dụng nhiều kỹ thuật khác nhau tùy theo từng thiết bị. Các quảng cáo cuối cùng được hiển thị dưới dạng cửa sổ Activity trong suốt, xuất hiện chồng lên các ứng dụng đang chạy.
Android.MagicAd cũng khai thác cơ chế giao tiếp giữa các ứng dụng. Nó tạo các Intent hoặc giao nhiệm vụ cho những mô-đun DEX đã giải mã, sau đó chuyển các thành phần này tới những ứng dụng được cài đặt sẵn có đặc quyền hệ thống trên một số nền tảng OEM.
Trên thiết bị Xiaomi, mã độc chủ yếu lợi dụng Mi Browser và MIUI SystemUI. Với thiết bị Amazon, nó khai thác trình khởi chạy màn hình chính Fire TV. Do các ứng dụng này có thể xử lý Intent mà không cần được mở trực tiếp, Android.MagicAd tận dụng chúng để hiển thị quảng cáo hoặc kích hoạt các thành phần độc hại của chính mình.
Trong trường hợp Mi Browser được cài đặt dưới dạng ứng dụng thông thường thay vì ứng dụng hệ thống, mã độc vẫn có thể sử dụng cơ chế tương tự cho đến khi cửa sổ ứng dụng bị đóng.
Sau khi nhận được các yêu cầu này, những dịch vụ trên sẽ kích hoạt mô-đun DEX của Trojan, cho phép quảng cáo tiếp tục được hiển thị từ nền mà người dùng khó phát hiện.
Không chỉ dựa vào các kỹ thuật đặc thù của từng nhà sản xuất, Android.MagicAd còn khai thác trình phát đa phương tiện của hệ thống. Trojan sẽ giải mã một tệp âm thanh được nhúng sẵn, lưu tệp này lên thiết bị, khởi động trình phát với âm lượng gần bằng không và đăng ký bộ thu cho các sự kiện điều khiển đa phương tiện.
Tiếp đó, nó mô phỏng thao tác nhấn nút điều khiển trên trình phát bằng một lệnh tương tự ADB rồi nhanh chóng đóng giao diện trình phát. Sự kiện điều khiển đa phương tiện này được bộ thu của hệ thống xử lý và trở thành điểm khởi đầu để kích hoạt hoạt động quảng cáo.
Cách thức này đặc biệt nguy hiểm vì nó khiến quá trình hiển thị quảng cáo được ngụy trang thành các thao tác điều khiển đa phương tiện hợp lệ, làm giảm khả năng bị phát hiện.
Để kéo dài thời gian hoạt động, các đối tượng đứng sau Android.MagicAd thường xuyên thay đổi ứng dụng phát tán trên các kho ứng dụng chính thức. Những ứng dụng này chỉ tồn tại trong thời gian ngắn trước khi được thay thế bằng các sản phẩm mới do cùng nhà phát triển phát hành.
Doctor Web cho biết các ứng dụng chứa Android.MagicAd hiện đã bị gỡ khỏi GetApps và các tài khoản phát triển liên quan cũng không còn đăng tải thêm ứng dụng nhiễm mã độc. Tuy nhiên, các thiết bị đã cài đặt trước đó vẫn đối mặt với nguy cơ bị ảnh hưởng.
Doctor Web hiện cung cấp các trang phân tích dành cho Android.MagicAd.1 và Android.MagicAd.1.origin, bao gồm những chỉ dấu kỹ thuật và mô tả hành vi phục vụ công tác nhận diện, điều tra và phòng thủ của các nhóm bảo mật.
Để xử lý nguy cơ này, người dùng được khuyến nghị gỡ bỏ các ứng dụng bị nhiễm, quét thiết bị bằng các giải pháp bảo mật di động uy tín và hạn chế cài đặt ứng dụng từ các nguồn không chính thống hoặc các kho ứng dụng khu vực ít được biết đến.
Đối với các nhà sản xuất thiết bị và đơn vị vận hành kho ứng dụng, việc tăng cường kiểm tra các thành phần gốc được mã hóa, đồng thời theo dõi những ứng dụng có vòng đời phát hành ngắn bất thường là cần thiết. Bên cạnh đó, các nhà phát triển Android có thể xem xét siết chặt cơ chế xử lý Intent và các API điều khiển đa phương tiện nhằm ngăn chặn việc chúng bị lợi dụng như những kênh phân phối quảng cáo ngầm.
Điểm đáng chú ý là các ứng dụng chứa mã độc này thường chỉ xuất hiện trong thời gian ngắn trên các kho ứng dụng. Sau vài tuần, chúng sẽ bị gỡ bỏ hoặc được thay thế bằng ứng dụng khác. Tuy nhiên, những bản đã được cài đặt trên thiết bị người dùng vẫn tiếp tục hoạt động, giúp các đối tượng vận hành duy trì hoạt động gian lận quảng cáo cũng như sự hiện diện lâu dài trên thiết bị, đồng thời hạn chế nguy cơ bị phát hiện từ phía cửa hàng ứng dụng.
Cơ chế hoạt động được che giấu kỹ lưỡng
Về mặt kỹ thuật, Android.MagicAd được xây dựng với mức độ tinh vi khá cao. Các thành phần quan trọng của mã độc được giấu trong những thư viện gốc đã được mã hóa và lưu bên trong tài nguyên của ứng dụng. Khi được kích hoạt, mã độc sẽ giải mã các thư viện này, trích xuất những mô-đun DEX rồi thực thi chúng.Trước khi triển khai các hành vi độc hại, Android.MagicAd tiến hành nhiều bước kiểm tra môi trường nhằm tránh bị phân tích. Nó tìm kiếm dấu hiệu của máy ảo, đánh giá xem quá trình cài đặt có diễn ra tự nhiên hay không và đối chiếu địa chỉ IP của thiết bị với danh sách đen được chuẩn bị sẵn.
Nếu các điều kiện đều đáp ứng yêu cầu, mã độc sẽ xóa biểu tượng ứng dụng khỏi màn hình, tạo kênh thông báo riêng và khởi chạy nhiều dịch vụ nền để duy trì hoạt động.
Theo báo cáo được Doctor Web chia sẻ với GBHackers, hơn 50 trò chơi phát hành trên GetApps của Xiaomi đã được phát hiện chứa các biến thể của Android.MagicAd. Mã độc này cũng từng xuất hiện trên Samsung Galaxy Store.
Ngoài việc chạy nền liên tục, Android.MagicAd còn thiết lập các tác vụ giám sát để tự động khởi động lại những dịch vụ quan trọng theo định kỳ. Trên các phiên bản Android cũ, nó thậm chí tạo ra màn hình ảo nhằm ngăn hệ thống dừng các tiến trình đang hoạt động.
Một trong những đặc điểm nổi bật nhất của Android.MagicAd là khả năng hiển thị quảng cáo mà không cần sử dụng quyền SYSTEM_ALERT_WINDOW, quyền vốn thường được yêu cầu để tạo các lớp phủ trên màn hình.
Ví dụ về các quảng cáo được hiển thị bởi Android.MagicAd.1 (Nguồn: Doctor Web).
Thay vì phụ thuộc vào quyền này, mã độc áp dụng nhiều kỹ thuật khác nhau tùy theo từng thiết bị. Các quảng cáo cuối cùng được hiển thị dưới dạng cửa sổ Activity trong suốt, xuất hiện chồng lên các ứng dụng đang chạy.
Android.MagicAd cũng khai thác cơ chế giao tiếp giữa các ứng dụng. Nó tạo các Intent hoặc giao nhiệm vụ cho những mô-đun DEX đã giải mã, sau đó chuyển các thành phần này tới những ứng dụng được cài đặt sẵn có đặc quyền hệ thống trên một số nền tảng OEM.
Trên thiết bị Xiaomi, mã độc chủ yếu lợi dụng Mi Browser và MIUI SystemUI. Với thiết bị Amazon, nó khai thác trình khởi chạy màn hình chính Fire TV. Do các ứng dụng này có thể xử lý Intent mà không cần được mở trực tiếp, Android.MagicAd tận dụng chúng để hiển thị quảng cáo hoặc kích hoạt các thành phần độc hại của chính mình.
Trong trường hợp Mi Browser được cài đặt dưới dạng ứng dụng thông thường thay vì ứng dụng hệ thống, mã độc vẫn có thể sử dụng cơ chế tương tự cho đến khi cửa sổ ứng dụng bị đóng.
Lợi dụng dịch vụ hệ thống để duy trì quảng cáo ngầm
Một biến thể khác của Android.MagicAd được tùy biến riêng cho thiết bị Vivo. Phiên bản này sử dụng Android Binder để tương tác với các dịch vụ hệ thống. Mã độc gửi các Intent được đóng gói trong đối tượng Parcel tới những dịch vụ như iManager, Phonebook, Vivo Browser và bộ gõ Baidu tùy chỉnh.Sau khi nhận được các yêu cầu này, những dịch vụ trên sẽ kích hoạt mô-đun DEX của Trojan, cho phép quảng cáo tiếp tục được hiển thị từ nền mà người dùng khó phát hiện.
Không chỉ dựa vào các kỹ thuật đặc thù của từng nhà sản xuất, Android.MagicAd còn khai thác trình phát đa phương tiện của hệ thống. Trojan sẽ giải mã một tệp âm thanh được nhúng sẵn, lưu tệp này lên thiết bị, khởi động trình phát với âm lượng gần bằng không và đăng ký bộ thu cho các sự kiện điều khiển đa phương tiện.
Tiếp đó, nó mô phỏng thao tác nhấn nút điều khiển trên trình phát bằng một lệnh tương tự ADB rồi nhanh chóng đóng giao diện trình phát. Sự kiện điều khiển đa phương tiện này được bộ thu của hệ thống xử lý và trở thành điểm khởi đầu để kích hoạt hoạt động quảng cáo.
Cách thức này đặc biệt nguy hiểm vì nó khiến quá trình hiển thị quảng cáo được ngụy trang thành các thao tác điều khiển đa phương tiện hợp lệ, làm giảm khả năng bị phát hiện.
Để kéo dài thời gian hoạt động, các đối tượng đứng sau Android.MagicAd thường xuyên thay đổi ứng dụng phát tán trên các kho ứng dụng chính thức. Những ứng dụng này chỉ tồn tại trong thời gian ngắn trước khi được thay thế bằng các sản phẩm mới do cùng nhà phát triển phát hành.
Doctor Web cho biết các ứng dụng chứa Android.MagicAd hiện đã bị gỡ khỏi GetApps và các tài khoản phát triển liên quan cũng không còn đăng tải thêm ứng dụng nhiễm mã độc. Tuy nhiên, các thiết bị đã cài đặt trước đó vẫn đối mặt với nguy cơ bị ảnh hưởng.
Doctor Web hiện cung cấp các trang phân tích dành cho Android.MagicAd.1 và Android.MagicAd.1.origin, bao gồm những chỉ dấu kỹ thuật và mô tả hành vi phục vụ công tác nhận diện, điều tra và phòng thủ của các nhóm bảo mật.
Để xử lý nguy cơ này, người dùng được khuyến nghị gỡ bỏ các ứng dụng bị nhiễm, quét thiết bị bằng các giải pháp bảo mật di động uy tín và hạn chế cài đặt ứng dụng từ các nguồn không chính thống hoặc các kho ứng dụng khu vực ít được biết đến.
Đối với các nhà sản xuất thiết bị và đơn vị vận hành kho ứng dụng, việc tăng cường kiểm tra các thành phần gốc được mã hóa, đồng thời theo dõi những ứng dụng có vòng đời phát hành ngắn bất thường là cần thiết. Bên cạnh đó, các nhà phát triển Android có thể xem xét siết chặt cơ chế xử lý Intent và các API điều khiển đa phương tiện nhằm ngăn chặn việc chúng bị lợi dụng như những kênh phân phối quảng cáo ngầm.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
