Thời chuyển đổi số, smartphone luôn là đích nhắm tấn công của hacker

Trong thông tin cảnh báo phát ra ngày 7/8, Bkav cho biết, một chiến dịch tấn công mạng sử dụng mã độc RedHook để đánh cắp dữ liệu cá nhân, tài khoản ngân hàng và chiếm quyền kiểm soát thiết bị, đang chủ đích nhắm vào người dùng điện thoại Android tại Việt Nam.

Phân tích của chuyên gia Bkav chỉ ra rằng, trong chiến dịch tấn công mới này, hacker tạo ra các website giả mạo cơ quan nhà nước hay các tổ chức tài chính uy tín như Ngân hàng nhà nước Việt Nam (SBV), Sacombank (Sacombank Pay), Tổng công ty Điện lực miền Trung (EVNCPC), Hệ thống đặt lịch đăng kiểm ô tô (TTDK)…

Mã độc RedHook được cài vào các website giả mạo dưới vỏ bọc là các ứng dụng và hacker lừa người dùng tải về điện thoại bằng nhiều kịch bản khác nhau như gửi email, nhắn tin qua các ứng dụng chat hoặc chạy quảng cáo trên các công cụ tìm kiếm…

Đáng chú ý là, ứng dụng giả mạo được ngụy trang với tên giống ứng dụng thật, chỉ khác đuôi, ví dụ “SBV.apk”; và được lưu trữ trên đám mây Amazon S3, giúp hacker dễ dàng cập nhật, thay đổi và che giấu nội dung độc hại.

Ngay khi được cài đặt xong, ứng dụng giả mạo yêu cầu người dùng cấp quyền truy cập sâu vào hệ thống, bao gồm quyền trợ năng (Accessibility) và quyền hiển thị lớp phủ (Overlay). Kết hợp hai quyền này, hacker có thể theo dõi thao tác người dùng, đọc nội dung tin nhắn SMS, lấy mã OTP, truy cập danh bạ, thậm chí thao tác thay người dùng mà không để lại dấu hiệu rõ ràng.

Dữ liệu trên điện thoại nạn nhân được nén lại bằng gzip, sau đó gửi về máy chủ C&C.

Dịch ngược mã nguồn của RedHook, các chuyên gia từ Trung tâm phân tích mã độc của Bkav đã phát hiện virus này tích hợp tới 34 lệnh điều khiển từ xa, bao gồm chụp ảnh màn hình, gửi/nhận tin nhắn, cài hoặc gỡ ứng dụng, khóa/mở thiết bị và thực thi các lệnh hệ thống.

Kẻ tấn công sử dụng API MediaProjection ghi lại toàn bộ nội dung hiển thị trên màn hình thiết bị rồi chuyển về máy chủ điều khiển. Mã độc RedHook có cơ chế xác thực bằng “JSON Web Token (JWT)”, giúp kẻ tấn công duy trì quyền kiểm soát thiết bị trong thời gian dài, kể cả khi thiết bị được khởi động lại.

Trong quá trình phân tích, chuyên gia Bkav phát hiện nhiều dấu vết về nguồn gốc phát triển của nhóm tin tặc cũng như chiến dịch phát tán RedHook có liên hệ với các hoạt động lừa đảo từng xuất hiện tại Việt Nam.

Chẳng hạn, việc sử dụng tên miền mailisa[.]me, một dịch vụ làm đẹp nổi tiếng bị lợi dụng trước đây, để phát tán mã độc cho thấy RedHook không hoạt động đơn lẻ mà là sản phẩm của chuỗi chiến dịch tấn công có tổ chức, được dàn dựng tinh vi cả về kỹ thuật lẫn chiến thuật lừa đảo.

Các tên miền máy chủ điều khiển được sử dụng trong chiến dịch này bao gồm api9.iosgaxx423.xyz và skt9.iosgaxx423.xyz, đều là những địa chỉ ẩn danh đặt tại nước ngoài, do đó các đơn vị bảo vệ không thể truy vết dễ dàng.

Hiện nay, smartphone đã trở thành một công cụ thiết yếu, lưu trữ nhiều thông tin nhạy cảm liên quan đến tài chính, đời sống của mỗi người.

Các chuyên gia Bkav nhấn mạnh: Smartphone giờ đây là một công cụ thiết yếu, lưu trữ nhiều thông tin nhạy cảm liên quan đến tài chính, đời sống của mỗi người. Trong thời chuyển đổi số, smarphone luôn là đích nhắm tấn công hacker cùng với mã độc, virus mới được chúng tạo ra mỗi ngày.

Trong bối cảnh đó, để không trở thành nạn nhân của các chiến dịch tấn công có chủ đích, chuyên gia Bkav khuyến cáo người dùng smartphone Android không cài đặt các ứng dụng ngoài Google Play, đặc biệt là các tệp APK nhận qua tin nhắn, email hoặc mạng xã hội; không cấp quyền trợ năng (Accessibility) cho các ứng dụng không rõ nguồn gốc.

“Các tổ chức cần triển khai biện pháp giám sát truy cập, lọc DNS và thiết lập cảnh báo các kết nối đến tên miền bất thường có liên quan hạ tầng điều khiển của mã độc. Trường hợp nghi ngờ bị lây nhiễm, cần lập tức ngắt kết nối Internet, sao lưu dữ liệu quan trọng, khôi phục cài đặt gốc, thay đổi toàn bộ mật khẩu tài khoản, đồng thời liên hệ ngân hàng để kiểm tra tình trạng tài khoản”, chuyên gia Bkav khuyến nghị.