Ảnh minh họa. Cyber Press

Kỹ thuật phát tán mã độc tinh vi, giả mạo ứng dụng hợp pháp

Để tấn công và phát tán trực tiếp các tệp APK của phần mềm độc hại Wonderland, các đối tượng tấn công chuyển sang sử dụng trình thả (dropper), những ứng dụng có vẻ vô hại nhưng có khả năng âm thầm cài đặt mã độc ẩn, thậm chí không cần kết nối Internet.

Các dropper này thường giả mạo ứng dụng hợp pháp như Google Play, hoặc ngụy trang dưới dạng tệp video, hình ảnh giả. Sau khi được cài đặt, ứng dụng sẽ giải nén mã độc ngay trên thiết bị, vượt qua nhiều cơ chế kiểm tra bảo mật truyền thống trên internet của Android.

Giao diện của dropper rất đơn giản, đôi khi chỉ hiển thị một nút “Update” (Cập nhật) giả để che giấu hành vi độc hại. Group-IB đã xác định nhiều họ dropper khác nhau, trong đó có MidnightDat và RoundRift, sử dụng payload được mã hóa và giấu trong thư mục tài nguyên (assets). Dropper sẽ tự động giải mã và cài đặt mã độc cuối cùng thông qua PackageInstaller của Android.

Để tránh bị phát hiện, tin tặc liên tục thay đổi tên ứng dụng và định danh gói (package name), khiến các giải pháp phát hiện dựa trên chữ ký gặp nhiều khó khăn.

Telegram hiện là kênh phát tán APK chính trong chiến dịch này. Các tệp độc hại thường được gửi đi thông qua những tài khoản Telegram bị chiếm đoạt, được mua bán trên các chợ ngầm. Khi bị nhiễm, các tài khoản này tự động chuyển tiếp tin nhắn chứa mã độc tới danh bạ, tạo ra chu trình lây nhiễm khép kín.

Wonderland, mã độc đánh cắp tin nhắn SMS với cơ chế điều khiển hai chiều

Phát hiện đáng chú ý nhất của Group-IB là họ mã độc mới mang tên Wonderland. Đây được xem là mã độc Android đánh cắp SMS đầu tiên tại Uzbekistan có khả năng lây lan diện rộng và sử dụng cơ chế điều khiển, chỉ huy (C2) hai chiều.

Khác với các mã độc trước đây chỉ thu thập và gửi dữ liệu SMS theo một chiều, Wonderland sử dụng giao thức WebSocket để nhận lệnh theo thời gian thực từ máy chủ điều khiển.

Nhờ đó, mã độc có thể thực thi nhiều hành vi nguy hiểm như: gửi SMS, thực hiện lệnh USSD, ẩn thông báo hệ thống hoặc thao túng chức năng điện thoại trực tiếp theo chỉ đạo của kẻ tấn công từ máy chủ C2.

Cơ chế liên lạc hai chiều này cho phép tin tặc đánh cắp mã OTP dùng trong giao dịch ngân hàng hoặc xác thực, chuyển hướng cuộc gọi, thậm chí vô hiệu hóa các cảnh báo bảo mật trên thiết bị nạn nhân.

Kết hợp với kỹ thuật làm rối mã mạnh, khả năng phát hiện môi trường giả lập (sandbox, emulator) và hạ tầng C2 thay đổi tên miền liên tục, Wonderland cho thấy bước tiến lớn về mức độ tinh vi và khả năng ẩn mình của mã độc Android.

Group-IB cho biết, chỉ riêng nhóm tội phạm đứng sau chiến dịch này đã thu về hơn 2 triệu USD trong năm 2025, phản ánh quy mô và hiệu quả đáng lo ngại của hoạt động tấn công sử dụng mã độc này.

Khuyến nghị bảo mật thiết bị Android

Trước nguy cơ gia tăng từ các mã độc Android thế hệ mới, chuyên gia an ninh mạng khuyến cáo người dùng và tổ chức: theo dõi chặt chẽ hoạt động bất thường trên thiết bị; không cài đặt APK từ các nguồn không chính thức; ưu tiên sử dụng các giải pháp phát hiện gian lận và cảnh báo mối đe dọa

Trong trường hợp nghi ngờ thiết bị đã bị nhiễm mã độc, ngắt kết nối Internet và khôi phục cài đặt gốc (factory reset) vẫn là biện pháp xử lý hiệu quả nhất hiện nay.

An Lâm (Theo Cyber Press)