Mã độc Android FvncBot, SeedSnatcher và ClayRat có thêm tính năng mạnh mẽ hơn

[T-X]

Các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về hai họ phần mềm độc hại Android mới có tên là FvncBot và SeedSnatcher, khi một phiên bản nâng cấp khác của ClayRat được phát hiện trong thực tế.

Những phát hiện này lần lượt đến từ Intel 471, CYFIRMA và Zimperium.

FvncBot, ngụy trang thành một ứng dụng bảo mật do mBank phát triển, nhắm mục tiêu vào người dùng ngân hàng di động tại Ba Lan. Điều đáng chú ý về phần mềm độc hại này là nó được viết hoàn toàn từ đầu và không hề lấy cảm hứng từ các trojan ngân hàng Android khác như ERMAC đã bị rò rỉ mã nguồn.

Intel 471 cho biết phần mềm độc hại này "đã triển khai nhiều tính năng bao gồm ghi lại thao tác bàn phím bằng cách lạm dụng các dịch vụ trợ năng của Android, tấn công chèn web, phát trực tuyến màn hình và tính toán mạng ảo ẩn (HVNC) để thực hiện hành vi gian lận tài chính thành công".

Tương tự như mã độc ngân hàng Albiriox mới được phát hiện gần đây, mã độc này được bảo vệ bởi dịch vụ mã hóa apk0day do Golden Crypt cung cấp. Ứng dụng độc hại hoạt động như một trình tải bằng cách cài đặt tải trọng FvncBot được nhúng sẵn.

Ngay khi ứng dụng dropper được khởi chạy, người dùng sẽ được nhắc cài đặt thành phần Google Play để đảm bảo tính bảo mật và ổn định của ứng dụng, nhưng trên thực tế, điều này sẽ dẫn đến việc triển khai phần mềm độc hại bằng cách sử dụng phương pháp dựa trên phiên đã được các tác nhân đe dọa khác áp dụng để vượt qua các hạn chế về khả năng truy cập trên các thiết bị Android chạy phiên bản 13 trở lên.

"Trong thời gian chạy phần mềm độc hại, các sự kiện nhật ký đã được gửi đến máy chủ từ xa tại tên miền   Đăng nhập để xem liên kết để theo dõi trạng thái hiện tại của bot", Intel 471 cho biết. "Những kẻ tấn công đã bao gồm một mã định danh bản dựng call_pl, cho biết Ba Lan là quốc gia mục tiêu, và phiên bản phần mềm độc hại được đặt thành 1.0-P, cho thấy đây là giai đoạn phát triển ban đầu.

Sau đó, phần mềm độc hại sẽ yêu cầu nạn nhân cấp quyền truy cập dịch vụ trợ năng, cho phép phần mềm hoạt động với các đặc quyền nâng cao và kết nối với máy chủ bên ngoài qua HTTP để đăng ký thiết bị bị nhiễm và nhận lệnh ngược lại bằng dịch vụ Firebase Cloud Messaging (FCM).

Một số chức năng hỗ trợ được liệt kê dưới đây:

    Bắt đầu/dừng kết nối WebSocket để điều khiển thiết bị từ xa và vuốt, nhấp hoặc cuộn để điều hướng màn hình thiết bị
    Lọc các sự kiện truy cập đã ghi vào bộ điều khiển
    Lọc danh sách các ứng dụng đã cài đặt
    Lọc thông tin thiết bị và cấu hình bot
    Nhận cấu hình để phục vụ lớp phủ độc hại trên các ứng dụng được nhắm mục tiêu
    Hiển thị lớp phủ toàn màn hình để thu thập và trích xuất dữ liệu nhạy cảm
    Ẩn lớp phủ
    Kiểm tra trạng thái dịch vụ trợ năng
    Lạm dụng dịch vụ trợ năng để ghi lại các lần nhấn phím
    Lấy các lệnh đang chờ xử lý từ bộ điều khiển
    Lạm dụng API MediaProjection của Android để truyền phát nội dung màn hình

FvncBot cũng hỗ trợ chế độ văn bản để kiểm tra bố cục và nội dung màn hình thiết bị ngay cả trong trường hợp ứng dụng ngăn chụp ảnh màn hình bằng cách đặt tùy chọn FLAG_SECURE.

Hiện tại vẫn chưa biết FvncBot được phân phối như thế nào, nhưng trojan ngân hàng Android được biết đến là lợi dụng lừa đảo qua tin nhắn SMS và các cửa hàng ứng dụng của bên thứ ba làm phương tiện lây lan.

"Dịch vụ trợ năng của Android được thiết kế để hỗ trợ người dùng khuyết tật, nhưng nó cũng có thể cho phép kẻ tấn công biết thời điểm một số ứng dụng nhất định được khởi chạy và ghi đè lên màn hình", Intel 471 cho biết. "Mặc dù mẫu cụ thể này được cấu hình để nhắm mục tiêu vào người dùng nói tiếng Ba Lan, nhưng rất có thể chúng ta sẽ thấy chủ đề này chuyển sang nhắm mục tiêu vào các khu vực khác hoặc mạo danh các tổ chức Ba Lan khác."

Trong khi FvncBot tập trung chủ yếu vào việc đánh cắp dữ liệu, SeedSnatcher – được phân phối dưới tên Coin thông qua Telegram – được thiết kế để cho phép đánh cắp cụm từ seed phrase của ví tiền điện tử. Nó cũng hỗ trợ khả năng chặn tin nhắn SMS đến để đánh cắp mã xác thực hai yếu tố (2FA) nhằm chiếm đoạt tài khoản, cũng như thu thập dữ liệu thiết bị, danh bạ, nhật ký cuộc gọi, tệp và dữ liệu nhạy cảm bằng cách hiển thị lớp phủ lừa đảo.

Người ta đánh giá rằng những kẻ điều hành SeedSnatcher có trụ sở tại Trung Quốc hoặc nói tiếng Trung Quốc dựa trên các hướng dẫn bằng tiếng Trung được chia sẻ qua Telegram và bảng điều khiển của kẻ đánh cắp.

CYFIRMA cho biết: "Phần mềm độc hại này sử dụng các kỹ thuật tiên tiến để tránh bị phát hiện, bao gồm tải lớp động, chèn nội dung WebView lén lút và các lệnh điều khiển dựa trên số nguyên. Ban đầu, nó chỉ yêu cầu các quyền tối thiểu khi chạy như truy cập SMS, sau đó sẽ leo thang đặc quyền để truy cập vào trình quản lý Tệp, lớp phủ, danh bạ, nhật ký cuộc gọi, v.v."

Những diễn biến này diễn ra khi Zimperium zLabs cho biết họ đã phát hiện ra một phiên bản cải tiến của ClayRat đã được cập nhật để lạm dụng các dịch vụ trợ năng cùng với việc khai thác các quyền SMS mặc định, khiến nó trở thành mối đe dọa mạnh hơn, có khả năng ghi lại các lần nhấn phím và màn hình, cung cấp nhiều lớp phủ khác nhau như màn hình cập nhật hệ thống để che giấu hoạt động độc hại và tạo thông báo tương tác giả để đánh cắp phản hồi của nạn nhân.

Nói tóm lại, việc mở rộng khả năng của ClayRat tạo điều kiện cho việc chiếm quyền điều khiển toàn bộ thiết bị thông qua việc lạm dụng dịch vụ trợ năng, tự động mở khóa mã PIN/mật khẩu/hình vẽ của thiết bị, ghi lại màn hình, thu thập thông báo và lớp phủ cố định.

ClayRat đã được phát tán thông qua 25 tên miền lừa đảo giả mạo các dịch vụ hợp pháp như YouTube, quảng cáo phiên bản Pro để phát lại nền và hỗ trợ 4K HDR. Các ứng dụng phân phối phần mềm độc hại này cũng được phát hiện bắt chước các ứng dụng taxi và đỗ xe của Nga.

Các nhà nghiên cứu Vishnu Pratapagiri và Fernando Ortega cho biết: "Những khả năng này kết hợp lại khiến ClayRat trở thành phần mềm gián điệp nguy hiểm hơn so với phiên bản trước, trong đó nạn nhân có thể gỡ cài đặt ứng dụng hoặc tắt thiết bị khi phát hiện bị nhiễm".