Ảnh minh họa. Cyber Security News

Mục tiêu đánh cắp dữ liệu và gian lận tài chính

Fantasy Hub được thiết kế để thu thập các thông tin cá nhân quan trọng trên thiết bị Android, bao gồm cả ghi âm, quay video hoặc truyền dữ liệu thời gian thực cho tội phạm mạng.

Một điểm nổi bật là mã độc có khả năng giả lập giao diện đăng nhập của ứng dụng ngân hàng. Khi người dùng nhập tên đăng nhập, mật khẩu hoặc mã xác thực, thông tin này sẽ được gửi lên máy chủ điều khiển (C2) của kẻ tấn công. Điều này cho phép thực hiện hành vi chiếm đoạt tài khoản hoặc giao dịch gian lận.

Mã độc này được thiết kế nhắm vào các ứng dụng ngân hàng.Fantasy Hub giả mạo cửa sổ đăng nhập của các ứng dụng ngân hàng cụ thể (Alfa, PSB, Tbank, Sber…) của Nga và có thể giả mạo các ngân hàng khác khi được đặt hàng. Khi người dùng nghĩ rằng mình đang đăng nhập vào ứng dụng thật và nhập tên tài khoản, mật khẩu, mã PIN hoặc mã xác thực, những thông tin đó sẽ bị mã độc thu lại và chuyển cho tội phạm.

Hình thức cung cấp: mã độc Fantasy Hub được phân phối qua kênh ngầm nói tiếng Nga, quảng cáo dưới dạng bot trên Telegram với mô hình đăng ký thuê bao. Dưới hình thức MaaS, tin tặc không cần kỹ năng sâu để sử dụng mà chỉ cần trả phí để khai thác công cụ như một dịch vụ, khiến nguy cơ lan rộng nhanh hơn và khó kiểm soát hơn.

Kỹ thuật tấn công và che giấu hành vi

Mã độc sử dụng một trình tải (dropper) ẩn trong một thư viện gốc (native) gọi là “metamask_loader”. Thay vì chứa mã độc ở dạng có đuôi ,exe, thư viện này chứa một tệp mã hóa bên trong. Khi người dùng kích hoạt tải xuống, thư viện này chạy trên thiết bị, sẽ giải mã nội dung bằng một phép toán mã hóa đơn giản (XOR), rồi giải nén phần dữ liệu được giải mã để khởi chạy phần mềm độc hại. Thủ đoạn này giúp giảm khả năng bị phát hiện khi các công cụ chống virus quét tĩnh (kiểm tra mã code trong file khi chưa chạy).

Ngoài ra, Fantasy Hub có cơ chế tự kiểm tra xem ứng dụng có đang chạy trong môi trường phân tích hay không, chẳng hạn như trên trình giả lập, thiết bị đã bị kiểm soát toàn bộ (root) hoặc có công cụ gỡ lỗi đang theo dõi. Nếu phát hiện dấu hiệu bất thường, mã độc sẽ tạm dừng hoạt động để tránh bị phát hiện và phân tích. Đây là kỹ thuật phổ biến nhằm né tránh phân tích động và hộp cát an toàn (sandbox).

Trong quá trình cài đặt, Fantasy Hub yêu cầu trở thành ứng dụng SMS mặc định. Khi người dùng đồng ý, mã độc sẽ tự động có quyền đọc, gửi và nhận tin nhắn, đồng thời mở rộng sang các quyền truy cập nhạy cảm khác mà không cần xin phép từng quyền một.

Đồng thời, mã độc có khả năng hiển thị cửa sổ giả (overlay) hoặc giả lập giao diện ứng dụng ngân hàng để thu thập thông tin đăng nhập và mã xác thực từ nạn nhân.

Một trong những tính năng nguy hiểm nhất của Fantasy Hub là khả năng truyền hình ảnh và âm thanh trực tiếp từ thiết bị nạn nhân thông qua WebRTC. Tính năng này biến smartphone thành thiết bị giám sát thời gian thực, phục vụ mục đích theo dõi hoặc tống tiền.

Kết hợp với khả năng trích xuất dữ liệu nhạy cảm, mã độc cho phép kẻ tấn công duy trì quan sát lâu dài mà không cần tương tác nhiều lần với thiết bị.

Khi xâm nhập thành công, Fantasy Hub âm thầm giành quyền kiểm soát thiết bị, thu thập dữ liệu nhạy cảm như: Đọc và chuyển tiếp tin nhắn, chặn mã OTP; Trích xuất danh bạ, nhật ký cuộc gọi và dữ liệu nhạy cảm khác. Ghi âm, chụp ảnh hoặc truyền trực tiếp nội dung từ micro và camera. Thu thập thông tin ngân hàng qua cửa sổ giao diện ngân hàng giả mạo.

Những nguyên tắc bảo mật chung cho Android

Chỉ cài ứng dụng từ kho chính thức và không nhấp vào link tải ứng dụng nhận được qua tin nhắn hoặc mạng xã hội.

Thận trọng với yêu cầu quyền: không đồng ý cho bất kỳ ứng dụng nào trở thành SMS mặc định nếu ứng dụng đó không phải ứng dụng nhắn tin bạn biết rõ.

Kiểm tra quyền ứng dụng thường xuyên và gỡ quyền hoặc gỡ ứng dụng nếu thấy yêu cầu không hợp lý.

Cập nhật hệ điều hành và ứng dụng để có được các bản vá bảo mật mới nhất.

Sử dụng phần mềm bảo mật di động đáng tin cậy và kích hoạt các tính năng bảo vệ hành vi (Mobile Threat Defense) nếu có.

Cảnh giác với các cửa sổ hoặc giao diện bất thường yêu cầu thông tin đăng nhập, mã OTP; xác minh trực tiếp qua kênh chính thức của dịch vụ trước khi cung cấp dữ liệu.

An Lâm (Theo Cyber Security News)