Ảnh minh họa: Nguồn Internet

Trojan Herodotus - thế hệ mã độc Android tinh vi mới

Các nhà nghiên cứu của công ty bảo mật ThreatFabric vừa phát hiện một loại trojan ngân hàng mới nhắm vào thiết bị Android, mang tên Herodotus. Loại mã độc này được cung cấp theo mô hình Malware-as-a-Service (MaaS) - nghĩa là tội phạm mạng có thể thuê hoặc mua quyền sử dụng phần mềm độc hại để thực hiện các chiến dịch tấn công.

Mã độc Herodotus được phân phối thông qua các ứng dụng giả mạo cài đặt ngoài Google Play (sideloading) hoặc tin nhắn lừa đảo (smishing), dụ người dùng kích hoạt dịch vụ Trợ năng (Accessibility Service). Khi quyền này được cấp, mã độc có thể kiểm soát toàn bộ thiết bị, hiển thị lớp phủ (overlay) giả để đánh lừa nạn nhân, và đánh cắp thông tin nhạy cảm từ các ứng dụng ngân hàng hoặc ví tiền số.

Các chuyên gia cho biết, Herodotus có khả năng giả lập thao tác người thật - chẳng hạn như gõ bàn phím hoặc chạm màn hình với độ trễ ngẫu nhiên từ 0,3 đến 3 giây giữa các lần gõ. Nhờ đó, mã độc vượt qua cơ chế phát hiện tự động của các phần mềm bảo mật, dựa vào tần suất hoặc mẫu thao tác lặp lại, khiến hệ thống nhận định rằng hoạt động đến từ người dùng thực.

Herodotus cũng có khả năng tải các lớp giao diện giả mạo từ máy chủ điều khiển (C2) của tin tặc, thu thập danh sách ứng dụng đã cài đặt, giám sát hành vi người dùng, đánh cắp thông tin xác thực đăng nhập như mã PIN, dấu vân tay để chiếm đoạt tài khoản ngân hàng, ví điện tử.

Herodotus có nguồn gốc tư mã độc Brokewell, hoạt động tại nhiều quốc gia

Nhóm ThreatFabric phát hiện Herodotus sử dụng giao thức MQTT để liên lạc với máy chủ điều khiển, cùng tên miền “google-firebase.digital” và các phụ miền (subdomains) được tạo riêng cho từng chiến dịch. Mã độc này hiện được ghi nhận hoạt động mạnh ở Italy và Brazil, nhưng có thể nhanh chóng lan sang các khu vực khác.

Phân tích mã nguồn cho thấy Herodotus chia sẻ nhiều đoạn mã với Brokewell, một trojan Android từng bị phát hiện trước đó, nhắm mục tiêu đến các ngân hàng, sàn giao dịch và ví tiền điện tử tại Mỹ, Anh, Thổ Nhĩ Kỳ và Ba Lan

Điều này cho thấy kẻ phát triển Herodotus có thể đã dựa trên mã Brokewell để tạo ra biến thể mới, bổ sung cơ chế mô phỏng thao tác người dùng nhằm nâng cao khả năng ẩn nấp tránh bị phát hiện.

Herodotus hiện được đánh giá là một trong những dòng mã độc Android tinh vi nhất, kết hợp giữa kỹ thuật giả lập hành vi con người và quyền Trợ năng để chiếm quyền điều khiển thiết bị. Các chuyên gia cảnh báo người dùng Android không cài đặt ứng dụng ngoài cửa hàng chính thức và không cấp quyền Trợ năng cho ứng dụng không tin cậy, đồng thời các tổ chức tài chính cần cập nhật biện pháp giám sát hành vi bất thường trên thiết bị di động.

An Lâm (Theo Security Affairs)