VietNetwork.Vn

Một phần mềm độc hại Android mới có tên Albiriox đã được quảng cáo theo mô hình phần mềm độc hại dưới dạng dịch vụ (MaaS) nhằm cung cấp "toàn bộ" các tính năng để tạo điều kiện cho gian lận trên thiết bị (ODF), thao túng màn hình và tương tác thời gian thực với các thiết bị bị nhiễm.

Phần mềm độc hại này nhúng một danh sách được mã hóa cứng bao gồm hơn 400 ứng dụng trong các lĩnh vực ngân hàng, công nghệ tài chính, bộ xử lý thanh toán, sàn giao dịch tiền điện tử, ví kỹ thuật số và nền tảng giao dịch.


Các nhà nghiên cứu Federico Valentini, Alessandro Strino, Gianluca Scotti và Simone Mattia của Cleafy cho biết : "Phần mềm độc hại này tận dụng các ứng dụng dropper được phân phối thông qua các chiêu trò kỹ thuật xã hội, kết hợp với các kỹ thuật đóng gói để tránh bị phát hiện tĩnh và truyền tải phần mềm độc hại".

Albiriox được cho là lần đầu tiên được quảng cáo là một phần của giai đoạn tuyển dụng hạn chế vào cuối tháng 9 năm 2025, trước khi chuyển sang cung cấp dịch vụ MaaS một tháng sau đó. Có bằng chứng cho thấy các tác nhân đe dọa nói tiếng Nga dựa trên hoạt động của chúng trên các diễn đàn tội phạm mạng, các mẫu ngôn ngữ và cơ sở hạ tầng được sử dụng.

Khách hàng tiềm năng sẽ được cung cấp quyền truy cập vào trình xây dựng tùy chỉnh, theo tuyên bố của nhà phát triển, tích hợp với dịch vụ mã hóa của bên thứ ba có tên là Golden Crypt để vượt qua các giải pháp bảo mật di động và chống vi-rút.

Mục tiêu cuối cùng của các cuộc tấn công là chiếm quyền kiểm soát thiết bị di động và thực hiện các hành vi gian lận, tất cả đều diễn ra âm thầm. Ít nhất một chiến dịch ban đầu đã nhắm mục tiêu rõ ràng vào các nạn nhân người Áo bằng cách sử dụng các mồi nhử bằng tiếng Đức và tin nhắn SMS chứa các liên kết rút gọn dẫn người nhận đến danh sách ứng dụng giả mạo trên Google Play Store cho các ứng dụng như PENNY Angebote & Coupons.

Người dùng vô tình nhấp vào nút "Cài đặt" trên trang giả mạo sẽ bị nhiễm một tệp APK dropper. Sau khi cài đặt và khởi chạy, ứng dụng sẽ yêu cầu người dùng cấp quyền cài đặt ứng dụng dưới dạng bản cập nhật phần mềm, dẫn đến việc triển khai phần mềm độc hại chính.

Albiriox sử dụng kết nối socket TCP không được mã hóa để ra lệnh và kiểm soát (C2), cho phép kẻ tấn công đưa ra nhiều lệnh khác nhau để điều khiển thiết bị từ xa bằng Virtual Network Computing (VNC), trích xuất thông tin nhạy cảm, hiển thị màn hình đen hoặc trống và tăng/giảm âm lượng để hoạt động bí mật.

Nó cũng cài đặt một mô-đun truy cập từ xa dựa trên VNC để cho phép kẻ tấn công tương tác từ xa với điện thoại bị xâm nhập. Một phiên bản của cơ chế tương tác dựa trên VNC sử dụng các dịch vụ trợ năng của Android để hiển thị tất cả các yếu tố giao diện người dùng và trợ năng hiện có trên màn hình thiết bị.

Các nhà nghiên cứu giải thích: "Cơ chế phát trực tuyến dựa trên khả năng truy cập này được thiết kế có chủ đích để vượt qua những hạn chế do cơ chế bảo vệ FLAG_SECURE của Android áp đặt".


"Vì nhiều ứng dụng ngân hàng và tiền điện tử hiện chặn tính năng ghi màn hình, ảnh chụp màn hình và chụp màn hình khi cờ này được bật, nên việc tận dụng các dịch vụ trợ năng cho phép phần mềm độc hại có được chế độ xem toàn bộ ở cấp độ nút của giao diện mà không kích hoạt bất kỳ biện pháp bảo vệ nào thường liên quan đến các kỹ thuật chụp màn hình trực tiếp."

Giống như các trojan ngân hàng khác trên nền tảng Android, Albiriox hỗ trợ các cuộc tấn công phủ lên danh sách các ứng dụng mục tiêu được mã hóa cứng để đánh cắp thông tin đăng nhập. Hơn nữa, nó có thể hoạt động như lớp phủ mô phỏng bản cập nhật hệ thống hoặc màn hình đen để cho phép các hoạt động độc hại được thực hiện trong nền mà không gây chú ý.

Cleafy cho biết họ cũng phát hiện ra một phương thức phân phối đã được thay đổi đôi chút, chuyển hướng người dùng đến một trang web giả mạo PENNY, nơi nạn nhân được yêu cầu nhập số điện thoại để nhận liên kết tải xuống trực tiếp qua WhatsApp. Trang web hiện chỉ chấp nhận số điện thoại của Áo. Các số điện thoại đã nhập sẽ được chuyển đến một bot Telegram.


Cleafy cho biết: "Albiriox thể hiện tất cả các đặc điểm cốt lõi của phần mềm độc hại lừa đảo trên thiết bị (ODF) hiện đại, bao gồm điều khiển từ xa dựa trên VNC, tự động hóa dựa trên khả năng truy cập, lớp phủ được nhắm mục tiêu và thu thập thông tin đăng nhập động. Những khả năng này cho phép kẻ tấn công vượt qua các cơ chế xác thực và phát hiện gian lận truyền thống bằng cách hoạt động trực tiếp trong phiên làm việc hợp lệ của nạn nhân."

Việc tiết lộ này trùng hợp với sự xuất hiện của một công cụ MaaS Android khác có tên mã là RadzaRat, mạo danh một tiện ích quản lý tệp hợp pháp, chỉ để kích hoạt khả năng giám sát và điều khiển từ xa rộng rãi sau khi cài đặt. RAT này lần đầu tiên được quảng cáo trên một diễn đàn tội phạm mạng ngầm vào ngày 8 tháng 11 năm 2025.

"Kẻ phát triển phần mềm độc hại, hoạt động dưới bí danh 'Heron44', đã định vị công cụ này như một giải pháp truy cập từ xa dễ tiếp cận, chỉ cần kiến thức kỹ thuật tối thiểu để triển khai và vận hành", nhà nghiên cứu Sophia Taylor của Certo cho biết. "Chiến lược phân phối này phản ánh sự dân chủ hóa đáng lo ngại của các công cụ tội phạm mạng."

Điểm cốt lõi của RadzaRat là khả năng điều khiển từ xa việc truy cập và quản lý hệ thống tệp, cho phép tội phạm mạng duyệt các thư mục, tìm kiếm các tệp cụ thể và tải xuống dữ liệu từ thiết bị bị xâm nhập. Nó cũng lạm dụng các dịch vụ trợ năng để ghi lại thao tác phím của người dùng và sử dụng Telegram cho mục đích C2.

Để duy trì hoạt động, mã độc sử dụng các quyền RECEIVE_BOOT_COMPLETED và RECEIVE_LOCKED_BOOT_COMPLETED, cùng với một thành phần BootReceiver chuyên dụng, để đảm bảo nó được tự động khởi chạy khi thiết bị khởi động lại. Ngoài ra, nó còn tìm kiếm quyền REQUEST_IGNORE_BATTERY_OPTIMIZATIONS để miễn trừ khỏi các tính năng tối ưu hóa pin của Android, vốn có thể hạn chế hoạt động nền của nó.

Certo cho biết: "Việc ngụy trang thành một trình quản lý tệp chức năng, kết hợp với khả năng giám sát và đánh cắp dữ liệu mở rộng khiến nó trở thành mối đe dọa đáng kể đối với cả người dùng cá nhân và tổ chức".

Những phát hiện này xuất hiện khi các trang đích giả mạo trên Google Play Store cho một ứng dụng có tên "GPT Trade" ("com.jxtfkrsl.bjtgsb") đã phát tán phần mềm độc hại BTMOB trên Android và một mô-đun khai thác liên tục được gọi là UASecurity Miner. BTMOB, lần đầu tiên được Cyble ghi nhận vào tháng 2 năm 2025, được biết là có thể lợi dụng các dịch vụ trợ năng để mở khóa thiết bị, ghi lại thao tác phím, tự động đánh cắp thông tin đăng nhập bằng cách tiêm mã độc và cho phép điều khiển từ xa.

Các chiêu trò kỹ thuật xã hội sử dụng nội dung dành cho người lớn làm mồi nhử cũng đã củng cố mạng lưới phân phối phần mềm độc hại Android tinh vi nhằm cung cấp tệp APK độc hại được che giấu kỹ lưỡng, yêu cầu các quyền nhạy cảm để phủ lớp lừa đảo, chụp màn hình, cài đặt phần mềm độc hại khác và thao túng hệ thống tệp.

"Nó sử dụng một kiến trúc đa giai đoạn linh hoạt với các trang web mồi nhử phía trước sử dụng công nghệ làm tối và mã hóa cấp thương mại để ẩn và kết nối động với một cơ sở hạ tầng phụ trợ riêng biệt", Palo Alto Networks Unit 42 cho biết. "Các trang web mồi nhử phía trước sử dụng các thông báo tải lừa đảo và một loạt các bước kiểm tra, bao gồm cả thời gian tải ảnh thử nghiệm, để tránh bị phát hiện và phân tích."