Nguyễn Tiến Đạt
Intern Writer
Một phần mềm độc hại Android mới tên Albiriox đang được rao bán theo mô hình malware-as-a-service (MaaS) với đầy đủ công cụ phục vụ gian lận trên thiết bị, kiểm soát màn hình và tương tác thời gian thực với smartphone bị nhiễm. Mã độc này chứa danh sách mã hóa cứng gồm hơn 400 ứng dụng thuộc lĩnh vực ngân hàng, fintech, ví kỹ thuật số, sàn giao dịch tiền điện tử và nền tảng thanh toán.
Theo phân tích của các nhà nghiên cứu Federico Valentini, Alessandro Strino, Gianluca Scotti và Simone Mattia (Cleafy), Albiriox được phân phối thông qua các ứng dụng dropper sử dụng chiêu trò xã hội, kết hợp kỹ thuật đóng gói để né phát hiện tĩnh. Phần mềm độc hại bắt đầu được quảng cáo trong giai đoạn tuyển dụng hạn chế vào cuối tháng 9/2025, sau đó chuyển sang mô hình MaaS chỉ một tháng sau. Dấu vết trên các diễn đàn tội phạm mạng cho thấy nhóm vận hành là các tác nhân đe dọa nói tiếng Nga.
Khách hàng của dịch vụ này được cung cấp trình tạo mẫu tùy chỉnh, tích hợp cùng dịch vụ mã hóa Golden Crypt nhằm vượt qua các giải pháp bảo mật di động và phần mềm chống virus. Mục tiêu cuối cùng của Albiriox là chiếm quyền kiểm soát thiết bị và thực hiện gian lận trong khi người dùng không hề hay biết.
Cleafy ghi nhận ít nhất một chiến dịch nhắm vào nạn nhân tại Áo, sử dụng mồi nhử tiếng Đức và SMS chứa liên kết rút gọn dẫn tới trang Google Play Store giả mạo của các ứng dụng như PENNY Angebote & Coupons. Khi người dùng bấm “Cài đặt”, họ tải xuống một tệp APK dropper. Sau khi khởi chạy, ứng dụng yêu cầu cấp quyền cài đặt như một bản cập nhật hệ thống, từ đó đưa payload độc hại chính vào thiết bị.
Một mô-đun truy cập từ xa dựa trên VNC được cài đặt để hỗ trợ tương tác toàn diện với thiết bị bị xâm nhập. Một cơ chế khác lợi dụng dịch vụ trợ năng của Android để hiển thị toàn bộ thành phần giao diện và thông tin trợ năng trên màn hình, cho phép vượt qua cơ chế bảo vệ FLAG_SECURE, vốn ngăn chụp màn hình trong ứng dụng ngân hàng và crypto. Điều này giúp mã độc nhìn được toàn bộ cấu trúc giao diện mà không kích hoạt các biện pháp chống chụp màn hình.
Tương tự các trojan ngân hàng Android khác, Albiriox hỗ trợ tấn công lớp phủ trên danh sách ứng dụng mục tiêu để đánh cắp thông tin đăng nhập. Nó cũng có thể giả mạo thông báo cập nhật hệ thống hoặc hiển thị màn hình đen nhằm che giấu hoạt động gian lận chạy trong nền.
Cleafy cũng phát hiện một phương thức phát tán khác: người dùng được chuyển tới một trang web PENNY giả, nơi họ phải nhập số điện thoại để nhận liên kết tải xuống qua WhatsApp. Trang web chỉ chấp nhận số điện thoại của Áo và gửi các số đã nhập đến một bot Telegram.
Cleafy nhận định: Albiriox sở hữu đầy đủ đặc trưng của phần mềm độc hại ODF hiện đại, bao gồm điều khiển từ xa bằng VNC, tự động hóa dựa trên trợ năng, lớp phủ tấn công và thu thập thông tin đăng nhập theo thời gian thực. Những khả năng này cho phép kẻ tấn công vượt qua cơ chế xác thực và phát hiện gian lận truyền thống bằng cách hoạt động trực tiếp trong phiên giao dịch hợp lệ của nạn nhân.
Bên cạnh Albiriox, cộng đồng an ninh mạng cũng ghi nhận sự xuất hiện của RadzaRat, một công cụ MaaS Android mới mạo danh ứng dụng quản lý tệp. Sau khi được cài đặt, nó bật khả năng giám sát và điều khiển từ xa. Mã độc này được rao bán lần đầu vào ngày 8/11/2025 trên diễn đàn ngầm. Theo Sophia Taylor (Certo), nhà phát triển có biệt danh “Heron44” định vị RadzaRat như một công cụ đơn giản, dễ sử dụng kể cả với người ít kỹ năng kỹ thuật.
Cốt lõi của RadzaRat là khả năng quản lý hệ thống tệp từ xa, duyệt thư mục, tìm kiếm tệp và tải xuống dữ liệu. Nó cũng lạm dụng dịch vụ trợ năng để ghi thao tác phím và dùng Telegram làm kênh C2. Để duy trì hoạt động, RadzaRat xin quyền RECEIVE_BOOT_COMPLETED và RECEIVE_LOCKED_BOOT_COMPLETED, chạy cùng thành phần BootReceiver, đồng thời đề nghị quyền REQUEST_IGNORE_BATTERY_OPTIMIZATIONS để tránh bị giới hạn chạy nền.
Trong thời gian này, các chiến dịch lừa đảo khác cũng được phát hiện, bao gồm trang Google Play Store giả mạo phân phối mã độc BTMOB và mô-đun UASecurity Miner. BTMOB, được ghi nhận lần đầu vào tháng 2/2025 bởi Cyble, có khả năng tận dụng dịch vụ trợ năng để mở khóa thiết bị, ghi phím, đánh cắp thông tin đăng nhập bằng tiêm mã độc và điều khiển từ xa.
Các hình thức lừa đảo dùng nội dung người lớn làm mồi cũng đang giúp phát tán tệp APK độc hại được che giấu kỹ, yêu cầu quyền nhạy cảm để tạo lớp phủ, chụp màn hình, cài thêm phần mềm độc hại và thao túng hệ thống tệp. Theo Palo Alto Networks Unit 42, các trang web mồi được xây dựng theo kiến trúc nhiều giai đoạn, sử dụng làm tối mã, mã hóa và cơ chế kiểm tra như thời gian tải ảnh nhằm tránh bị phát hiện hoặc phân tích.(thehackernews)
Theo phân tích của các nhà nghiên cứu Federico Valentini, Alessandro Strino, Gianluca Scotti và Simone Mattia (Cleafy), Albiriox được phân phối thông qua các ứng dụng dropper sử dụng chiêu trò xã hội, kết hợp kỹ thuật đóng gói để né phát hiện tĩnh. Phần mềm độc hại bắt đầu được quảng cáo trong giai đoạn tuyển dụng hạn chế vào cuối tháng 9/2025, sau đó chuyển sang mô hình MaaS chỉ một tháng sau. Dấu vết trên các diễn đàn tội phạm mạng cho thấy nhóm vận hành là các tác nhân đe dọa nói tiếng Nga.
Khách hàng của dịch vụ này được cung cấp trình tạo mẫu tùy chỉnh, tích hợp cùng dịch vụ mã hóa Golden Crypt nhằm vượt qua các giải pháp bảo mật di động và phần mềm chống virus. Mục tiêu cuối cùng của Albiriox là chiếm quyền kiểm soát thiết bị và thực hiện gian lận trong khi người dùng không hề hay biết.
Cleafy ghi nhận ít nhất một chiến dịch nhắm vào nạn nhân tại Áo, sử dụng mồi nhử tiếng Đức và SMS chứa liên kết rút gọn dẫn tới trang Google Play Store giả mạo của các ứng dụng như PENNY Angebote & Coupons. Khi người dùng bấm “Cài đặt”, họ tải xuống một tệp APK dropper. Sau khi khởi chạy, ứng dụng yêu cầu cấp quyền cài đặt như một bản cập nhật hệ thống, từ đó đưa payload độc hại chính vào thiết bị.
Cách Albiriox điều khiển thiết bị và vượt qua bảo mật Android
Albiriox sử dụng kết nối TCP không mã hóa để giao tiếp với máy chủ điều khiển (C2). Từ đó, kẻ tấn công có thể gửi lệnh điều khiển thiết bị từ xa qua Virtual Network Computing (VNC), lấy dữ liệu nhạy cảm, bật chế độ màn hình đen và chỉnh âm lượng để tránh bị phát hiện.Một mô-đun truy cập từ xa dựa trên VNC được cài đặt để hỗ trợ tương tác toàn diện với thiết bị bị xâm nhập. Một cơ chế khác lợi dụng dịch vụ trợ năng của Android để hiển thị toàn bộ thành phần giao diện và thông tin trợ năng trên màn hình, cho phép vượt qua cơ chế bảo vệ FLAG_SECURE, vốn ngăn chụp màn hình trong ứng dụng ngân hàng và crypto. Điều này giúp mã độc nhìn được toàn bộ cấu trúc giao diện mà không kích hoạt các biện pháp chống chụp màn hình.
Tương tự các trojan ngân hàng Android khác, Albiriox hỗ trợ tấn công lớp phủ trên danh sách ứng dụng mục tiêu để đánh cắp thông tin đăng nhập. Nó cũng có thể giả mạo thông báo cập nhật hệ thống hoặc hiển thị màn hình đen nhằm che giấu hoạt động gian lận chạy trong nền.
Cleafy cũng phát hiện một phương thức phát tán khác: người dùng được chuyển tới một trang web PENNY giả, nơi họ phải nhập số điện thoại để nhận liên kết tải xuống qua WhatsApp. Trang web chỉ chấp nhận số điện thoại của Áo và gửi các số đã nhập đến một bot Telegram.
Cleafy nhận định: Albiriox sở hữu đầy đủ đặc trưng của phần mềm độc hại ODF hiện đại, bao gồm điều khiển từ xa bằng VNC, tự động hóa dựa trên trợ năng, lớp phủ tấn công và thu thập thông tin đăng nhập theo thời gian thực. Những khả năng này cho phép kẻ tấn công vượt qua cơ chế xác thực và phát hiện gian lận truyền thống bằng cách hoạt động trực tiếp trong phiên giao dịch hợp lệ của nạn nhân.
Bên cạnh Albiriox, cộng đồng an ninh mạng cũng ghi nhận sự xuất hiện của RadzaRat, một công cụ MaaS Android mới mạo danh ứng dụng quản lý tệp. Sau khi được cài đặt, nó bật khả năng giám sát và điều khiển từ xa. Mã độc này được rao bán lần đầu vào ngày 8/11/2025 trên diễn đàn ngầm. Theo Sophia Taylor (Certo), nhà phát triển có biệt danh “Heron44” định vị RadzaRat như một công cụ đơn giản, dễ sử dụng kể cả với người ít kỹ năng kỹ thuật.
Cốt lõi của RadzaRat là khả năng quản lý hệ thống tệp từ xa, duyệt thư mục, tìm kiếm tệp và tải xuống dữ liệu. Nó cũng lạm dụng dịch vụ trợ năng để ghi thao tác phím và dùng Telegram làm kênh C2. Để duy trì hoạt động, RadzaRat xin quyền RECEIVE_BOOT_COMPLETED và RECEIVE_LOCKED_BOOT_COMPLETED, chạy cùng thành phần BootReceiver, đồng thời đề nghị quyền REQUEST_IGNORE_BATTERY_OPTIMIZATIONS để tránh bị giới hạn chạy nền.
Trong thời gian này, các chiến dịch lừa đảo khác cũng được phát hiện, bao gồm trang Google Play Store giả mạo phân phối mã độc BTMOB và mô-đun UASecurity Miner. BTMOB, được ghi nhận lần đầu vào tháng 2/2025 bởi Cyble, có khả năng tận dụng dịch vụ trợ năng để mở khóa thiết bị, ghi phím, đánh cắp thông tin đăng nhập bằng tiêm mã độc và điều khiển từ xa.
Các hình thức lừa đảo dùng nội dung người lớn làm mồi cũng đang giúp phát tán tệp APK độc hại được che giấu kỹ, yêu cầu quyền nhạy cảm để tạo lớp phủ, chụp màn hình, cài thêm phần mềm độc hại và thao túng hệ thống tệp. Theo Palo Alto Networks Unit 42, các trang web mồi được xây dựng theo kiến trúc nhiều giai đoạn, sử dụng làm tối mã, mã hóa và cơ chế kiểm tra như thời gian tải ảnh nhằm tránh bị phát hiện hoặc phân tích.(thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
