Duy Linh
Writer
Một chiến dịch phát tán phần mềm độc hại Android mới đã bị phát hiện, trong đó các đối tượng tấn công lợi dụng một ứng dụng đọc tài liệu giả mạo trên Google Play để tiếp cận số lượng lớn người dùng trước khi kích hoạt mã độc Anatsa.
Ứng dụng được phát hành dưới dạng trình đọc tài liệu và công cụ quản lý tệp, nhóm ứng dụng thường ít bị nghi ngờ vì chỉ cung cấp các tính năng hỗ trợ năng suất đơn giản.
Theo các báo cáo, ứng dụng duy trì trạng thái “sạch” trong thời gian dài để xây dựng độ tin cậy với người dùng. Sau đó, một bản cập nhật được phát hành nhằm đưa mã độc vào thiết bị. Bản cập nhật này tải xuống phần mềm Anatsa từ địa chỉ http://66.206.6[.]6:8080/disclaimer.txt và cài đặt như một thành phần riêng biệt.
Mã băm MD5 của trình cài đặt là f72b1a333fa28b133df6476561142d6a, trong khi mã băm MD5 của phần mềm độc hại là 61d25684e6f42e386f40ee60f5c54dca. Điểm cuối điều khiển được xác định là http://162.252.173[.]37:85/api, cung cấp cho các chuyên gia bảo mật những chỉ dấu quan trọng để tìm kiếm trong dữ liệu đo từ xa trên thiết bị di động và nhật ký mạng.
Theo báo cáo của ThreatLabz được chia sẻ với GBHackers, ứng dụng trên Google Play hoạt động như một trình tải mã độc, sau đó tải Anatsa từ máy chủ từ xa và kết nối với hạ tầng của kẻ tấn công để triển khai các hoạt động nhắm mục tiêu vào lĩnh vực ngân hàng.
Sau khi được kích hoạt, Anatsa sẽ giám sát các ứng dụng tài chính mục tiêu và hiển thị màn hình bảo trì giả mạo trên giao diện ngân hàng hợp pháp. Thủ đoạn này giúp giảm khả năng người dùng phát hiện hoạt động bất thường trong khi phần mềm độc hại âm thầm hoạt động phía sau.
Chiến dịch mới tiếp tục cho thấy mô hình hoạt động quen thuộc của Anatsa. Trong nhiều năm qua, mã độc này liên tục xuất hiện trên Google Play thông qua các ứng dụng tiện ích hoặc ứng dụng năng suất có vẻ vô hại.
Ứng dụng trong chiến dịch hiện tại vẫn còn hoạt động tại thời điểm báo cáo và sử dụng tên gói com.westhorizont.appsforge.filehorizon_explorereaddocuments trên Google Play.
Google đã nhiều lần gỡ bỏ các ứng dụng liên quan đến Anatsa trong các sự cố trước đó. Tuy nhiên, vấn đề lặp đi lặp lại là mã độc chỉ được đưa vào sau khi ứng dụng đã tích lũy đủ lượng người dùng, đánh giá tích cực và các tín hiệu tạo dựng niềm tin.
Kỹ thuật này khiến các phương pháp kiểm duyệt dựa trên đánh giá trở nên kém hiệu quả hơn. Phiên bản ban đầu của ứng dụng có thể hoàn toàn hợp pháp và không chứa mã độc. Đến khi bản cập nhật độc hại xuất hiện, ứng dụng đã vượt qua giai đoạn tạo dựng uy tín mà nhiều người dùng thường dựa vào trước khi cài đặt từ cửa hàng chính thức.
Đối với các đội ngũ bảo mật, giải pháp thực tế là xem các mối đe dọa trên thiết bị di động tương tự như các cuộc xâm nhập có tổ chức khác. Cần kiểm kê các ứng dụng đọc tài liệu và quản lý tệp được cài đặt gần đây, kiểm tra sự xuất hiện của các chỉ dấu nêu trên trong nhật ký điểm cuối và DNS, đồng thời xác minh rằng thiết bị không âm thầm tải xuống các tệp APK thứ cấp.
Bài học quan trọng nhất đối với người dùng là danh mục ứng dụng hoặc nguồn gốc từ cửa hàng chính thức không đủ để bảo đảm độ tin cậy. Một ứng dụng đọc tài liệu yêu cầu quyền truy cập quá rộng, cập nhật với tần suất bất thường hoặc có sự thay đổi hành vi đột ngột cần được xem là đáng ngờ, ngay cả khi đã vượt mốc 100.000 lượt tải xuống.
Ứng dụng được phát hành dưới dạng trình đọc tài liệu và công cụ quản lý tệp, nhóm ứng dụng thường ít bị nghi ngờ vì chỉ cung cấp các tính năng hỗ trợ năng suất đơn giản.
Theo các báo cáo, ứng dụng duy trì trạng thái “sạch” trong thời gian dài để xây dựng độ tin cậy với người dùng. Sau đó, một bản cập nhật được phát hành nhằm đưa mã độc vào thiết bị. Bản cập nhật này tải xuống phần mềm Anatsa từ địa chỉ http://66.206.6[.]6:8080/disclaimer.txt và cài đặt như một thành phần riêng biệt.
Mã băm MD5 của trình cài đặt là f72b1a333fa28b133df6476561142d6a, trong khi mã băm MD5 của phần mềm độc hại là 61d25684e6f42e386f40ee60f5c54dca. Điểm cuối điều khiển được xác định là http://162.252.173[.]37:85/api, cung cấp cho các chuyên gia bảo mật những chỉ dấu quan trọng để tìm kiếm trong dữ liệu đo từ xa trên thiết bị di động và nhật ký mạng.
Anatsa âm thầm đánh cắp thông tin ngân hàng
Anatsa không phải là một loại phần mềm quảng cáo thông thường. Đây là Trojan ngân hàng được thiết kế để đánh cắp thông tin đăng nhập, thực hiện các cuộc tấn công lớp phủ giao diện, ghi lại thao tác bàn phím và lạm dụng các giao dịch tài chính.Theo báo cáo của ThreatLabz được chia sẻ với GBHackers, ứng dụng trên Google Play hoạt động như một trình tải mã độc, sau đó tải Anatsa từ máy chủ từ xa và kết nối với hạ tầng của kẻ tấn công để triển khai các hoạt động nhắm mục tiêu vào lĩnh vực ngân hàng.
Sau khi được kích hoạt, Anatsa sẽ giám sát các ứng dụng tài chính mục tiêu và hiển thị màn hình bảo trì giả mạo trên giao diện ngân hàng hợp pháp. Thủ đoạn này giúp giảm khả năng người dùng phát hiện hoạt động bất thường trong khi phần mềm độc hại âm thầm hoạt động phía sau.
Chiến dịch mới tiếp tục cho thấy mô hình hoạt động quen thuộc của Anatsa. Trong nhiều năm qua, mã độc này liên tục xuất hiện trên Google Play thông qua các ứng dụng tiện ích hoặc ứng dụng năng suất có vẻ vô hại.
Chiêu thức lợi dụng lòng tin của người dùng Google Play
Các chiến dịch trước đây của Anatsa từng đạt từ hàng chục nghìn đến hàng trăm nghìn lượt tải xuống. Điều này cho thấy các đối tượng vận hành ưu tiên sự kiên nhẫn và mở rộng quy mô thay vì triển khai các hoạt động tấn công mạnh ngay từ đầu.Ứng dụng trong chiến dịch hiện tại vẫn còn hoạt động tại thời điểm báo cáo và sử dụng tên gói com.westhorizont.appsforge.filehorizon_explorereaddocuments trên Google Play.
Google đã nhiều lần gỡ bỏ các ứng dụng liên quan đến Anatsa trong các sự cố trước đó. Tuy nhiên, vấn đề lặp đi lặp lại là mã độc chỉ được đưa vào sau khi ứng dụng đã tích lũy đủ lượng người dùng, đánh giá tích cực và các tín hiệu tạo dựng niềm tin.
Kỹ thuật này khiến các phương pháp kiểm duyệt dựa trên đánh giá trở nên kém hiệu quả hơn. Phiên bản ban đầu của ứng dụng có thể hoàn toàn hợp pháp và không chứa mã độc. Đến khi bản cập nhật độc hại xuất hiện, ứng dụng đã vượt qua giai đoạn tạo dựng uy tín mà nhiều người dùng thường dựa vào trước khi cài đặt từ cửa hàng chính thức.
Đối với các đội ngũ bảo mật, giải pháp thực tế là xem các mối đe dọa trên thiết bị di động tương tự như các cuộc xâm nhập có tổ chức khác. Cần kiểm kê các ứng dụng đọc tài liệu và quản lý tệp được cài đặt gần đây, kiểm tra sự xuất hiện của các chỉ dấu nêu trên trong nhật ký điểm cuối và DNS, đồng thời xác minh rằng thiết bị không âm thầm tải xuống các tệp APK thứ cấp.
Bài học quan trọng nhất đối với người dùng là danh mục ứng dụng hoặc nguồn gốc từ cửa hàng chính thức không đủ để bảo đảm độ tin cậy. Một ứng dụng đọc tài liệu yêu cầu quyền truy cập quá rộng, cập nhật với tần suất bất thường hoặc có sự thay đổi hành vi đột ngột cần được xem là đáng ngờ, ngay cả khi đã vượt mốc 100.000 lượt tải xuống.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
