Cảnh báo: Oblivion RAT – Mã độc Android MaaS cực nguy hiểm
Oblivion RAT, một loại mã độc Android truy cập từ xa mới, đã xuất hiện trên các mạng lưới tội phạm mạng dưới dạng nền tảng Malware-as-a-Service (MaaS) hoàn chỉnh. Mã độc này biến các trang cập nhật Google Play Store giả mạo thành một chiến dịch phần mềm gián điệp quy mô lớn, gây ra rủi ro nghiêm trọng cho người dùng.
Theo báo cáo đầu tiên từ Certo Software, mối đe dọa này gây chú ý bởi sự hoàn thiện và khả năng triển khai sẵn sàng. Nó bao gồm mọi thứ từ cơ chế phân phối dropper đến khả năng kiểm soát thiết bị theo thời gian thực.
Tổng quan về Oblivion RAT và Mô hình MaaS
Oblivion RAT được rao bán trên các diễn đàn ngầm với mức giá 300 USD mỗi tháng. Các gói dài hạn hơn có thể lên đến 2.200 USD cho giấy phép trọn đời. Điều này cho thấy đây là một dịch vụ chuyên nghiệp và dễ tiếp cận cho các tác nhân độc hại.
Gói dịch vụ này bao gồm một trình xây dựng APK dựa trên nền tảng web cho implant chính. Ngoài ra, còn có một trình xây dựng dropper riêng biệt. Công cụ này có khả năng tạo ra các trang cập nhật Google Play giả mạo tinh vi.
Một phần quan trọng khác là bảng điều khiển Command-and-Control (C2) để quản lý thiết bị trực tiếp. Bảng điều khiển C2 này cho phép kẻ tấn công thực hiện các hành động độc hại theo thời gian thực.
Cơ chế phân phối và chuỗi lây nhiễm
Các tác nhân tấn công phân phối dropper thông qua các ứng dụng nhắn tin và nền tảng hẹn hò. Chúng lừa dối nạn nhân tin rằng họ đang cài đặt một bản cập nhật Google Play hợp lệ.
Các nhà phân tích từ iVerify đã xác định và phân tích ngược chuỗi lây nhiễm hoàn chỉnh của mã độc này. Họ đã thu thập được các mẫu của cả dropper và RAT implant, đồng thời truy cập vào trình xây dựng và bảng điều khiển C2.
Nghiên cứu cho thấy nền tảng này được cấu trúc tốt. Nó tích hợp sẵn các ngôn ngữ hỗ trợ tiếng Anh và tiếng Nga, khẳng định mục tiêu của chiến dịch là nạn nhân ở nhiều khu vực khác nhau. Chi tiết phân tích có thể tham khảo tại báo cáo của iVerify.
Dropper mặc định sử dụng mẫu package com.darkpurecore*. Hoạt động khởi chạy chính là com.oblivion.dropper.MainActivity trên tất cả các mẫu được quan sát.
Quá trình lây nhiễm tuân theo mô hình hai giai đoạn. APK của dropper chứa một RAT implant được nén (payload.apk.xz). Ngoài ra, nó còn chứa ba trang HTML tự chứa. Các trang này mô phỏng quy trình cập nhật Google Play thực tế.
- Trang đầu tiên hiển thị một thanh tiến trình và một quá trình quét bảo mật giả mạo. Các thông báo như “No malicious code” và “Verified developer” được hiển thị để đánh lừa người dùng.
- Trang thứ hai trình bày một danh sách giả mạo trên Play Store. Nó hiển thị tên nhà phát triển là “LLC Google”, xếp hạng 4.5 sao và nút “UPDATE”. Nút này sẽ kích hoạt quá trình sideloading.
- Trang thứ ba hướng dẫn nạn nhân bật tính năng cài đặt ứng dụng từ các nguồn không xác định. Kẻ tấn công cố tình trình bày đây là một bước bảo mật thông thường.
Khi nạn nhân hoàn thành các bước này, implant giai đoạn hai sẽ âm thầm chiếm quyền điều khiển thiết bị. Nó sẽ chạy ngầm mà không hiển thị bất kỳ giao diện nào.
Kỹ thuật khai thác AccessibilityService và Xâm nhập Mạng
Tác động của Oblivion RAT là rất nghiêm trọng. Kẻ tấn công giành được gần như toàn bộ quyền kiểm soát thiết bị đã bị xâm nhập. Quyền truy cập bao gồm tin nhắn SMS, nhật ký gõ phím, dữ liệu ứng dụng tài chính và các phiên màn hình trực tiếp.
Phần nguy hiểm nhất trong cuộc tấn công của Oblivion là cách nó lạm dụng Android’s AccessibilityService. Mục đích là để chiếm toàn bộ quyền kiểm soát thiết bị một cách âm thầm.
Sau khi implant giai đoạn hai được cài đặt, mã độc yêu cầu quyền truy cập AccessibilityService. Nó thực hiện điều này thông qua một bản sao hoàn hảo của màn hình cài đặt trợ năng của Android.
Mọi yếu tố trên màn hình này — tiêu đề, tiêu đề phần và nút “Enable” — đều được kẻ tấn công kiểm soát. Việc này được thực hiện thông qua APK Builder. Khi nạn nhân nhấn “Enable”, implant sẽ chiếm hoàn toàn giao diện của thiết bị.
Nó tự động điều hướng đến phần Cài đặt của Android. Từ đó, nó âm thầm tự cấp cho mình mọi quyền nguy hiểm. Các quyền này bao gồm truy cập SMS, bộ nhớ, trình nghe thông báo và quyền quản trị thiết bị, mà không hiển thị bất kỳ lời nhắc nào cho nạn nhân.
Một công tắc backend có tên hide_permission_process làm cho quá trình này hoàn toàn vô hình. Nó chặn và tự động bỏ qua các hộp thoại hệ thống trước khi chúng xuất hiện trên màn hình.
Khả năng kiểm soát và đánh cắp dữ liệu nhạy cảm
Với toàn quyền kiểm soát, kẻ tấn công có thể mở các phiên VNC thời gian thực với đầy đủ chức năng chạm. Chúng có thể ghi lại mọi thao tác gõ phím, được gắn thẻ theo ứng dụng và dấu thời gian.
Đồng thời, kẻ tấn công có thể chặn tất cả tin nhắn SMS. Điều này bao gồm cả mã OTP và token 2FA trước khi chúng đến tay nạn nhân. Điều này đặc biệt nguy hiểm đối với các giao dịch tài chính và xác thực hai yếu tố.
Tính năng “Wealth Assessment” được tích hợp sẵn giúp phân loại các ứng dụng đã cài đặt trên thiết bị của nạn nhân. Các danh mục bao gồm Ngân hàng, Crypto và Dịch vụ chính phủ. Điều này cung cấp cho kẻ tấn công cái nhìn nhanh về các tài khoản có giá trị nhất để nhắm mục tiêu.
Chỉ số Nhận dạng (IOCs)
Để hỗ trợ phát hiện và phòng chống Oblivion RAT, các chỉ số nhận dạng sau đây đã được ghi nhận:
- Mẫu Package Dropper:
com.darkpurecore* - Hoạt động khởi chạy chính của Dropper:
com.oblivion.dropper.MainActivity - Payload implant:
payload.apk.xz(được nén trong dropper APK)
Biện pháp Phòng ngừa và Bảo mật Mạng
Để bảo vệ thiết bị khỏi các cuộc tấn công mạng như Oblivion RAT, người dùng Android cần tuân thủ các nguyên tắc sau:
- Chỉ tải xuống ứng dụng từ Google Play Store chính thức.
- Ngay lập tức từ chối bất kỳ yêu cầu cấp quyền trợ năng (AccessibilityService) cho các ứng dụng không rõ nguồn gốc.
- Bất kỳ lời nhắc nào yêu cầu bật cài đặt sideloading bên ngoài Play Store đều phải được coi là một dấu hiệu nguy hiểm.
Các tổ chức cũng nên thực thi các chính sách quản lý thiết bị. Các chính sách này cần hạn chế cài đặt từ các nguồn không xác định. Đồng thời, cần giám sát các hoạt động đáng ngờ liên quan đến AccessibilityService. Thực hiện những biện pháp này sẽ tăng cường an ninh mạng và giảm thiểu nguy cơ bị xâm nhập.
