Mã độc Android banking TrickMo: Nguy hiểm mới

TrickMo là một mã độc Android banking quay trở lại với biến thể mới, được thiết kế để né phát hiện tốt hơn và tăng khả năng chiếm quyền điều khiển thiết bị. Biến thể này nhắm vào người dùng ứng dụng ngân hàng, ví điện tử và ứng dụng xác thực, làm gia tăng rủi ro bảo mật đối với dữ liệu tài chính và quyền truy cập tài khoản.

TrickMo Android Banking Malware: Mô hình tấn công và phạm vi nhắm mục tiêu

Chuỗi lây nhiễm của TrickMo Android banking malware bắt đầu từ các ứng dụng giả mạo TikTok được phát tán qua chiến dịch Facebook, cùng một ứng dụng ngụy trang dưới tên “Live Streaming”. Đây là kiểu phân phối điển hình của mối đe dọa mạng trên Android, khi người dùng bị dụ cài đặt ngoài kho ứng dụng chính thức.

Nhóm phân tích của ThreatFabric cho biết biến thể mới được theo dõi trong giai đoạn từ tháng 1 đến tháng 2 năm 2026, và được xem là một đợt nâng cấp nền tảng có chủ đích hơn là một họ mã độc hoàn toàn mới. Hoạt động được ghi nhận ở Pháp, Ý và Áo, với dấu hiệu cho thấy biến thể này đang dần thay thế phiên bản cũ trong các chiến dịch của tác nhân vận hành.

Tham khảo báo cáo gốc tại: ThreatFabric: New TrickMo Variant.

Hành vi của TrickMo Android banking malware sau khi cài đặt

Sau khi được cài đặt, TrickMo dụ người dùng cấp quyền Accessibility. Khi quyền này được chấp nhận, ứng dụng độc hại có thể đọc nội dung trên màn hình, tương tác với giao diện và thực thi thao tác thay người dùng. Đây là cơ chế cốt lõi giúp mã độc Android banking đạt được trạng thái Device Takeover.

Biến thể mới không chỉ đánh cắp thông tin đăng nhập. Nó còn ghi lại màn hình, ghi phím bấm, chặn tin nhắn SMS, và âm thầm ẩn các thông báo chứa one-time password trước khi người dùng nhìn thấy. Hệ quả là quá trình xác thực đa yếu tố bị vô hiệu hóa trên thiết bị đã nhiễm.

Thành phần thực thi và điều khiển từ xa

TrickMo nạp một module runtime tên dex.module để cung cấp lõi điều khiển từ xa. Module này được tải từ hạ tầng do kẻ tấn công kiểm soát và chèn vào tiến trình đang chạy, khiến việc phát hiện bằng các công cụ quét thông thường trở nên khó khăn hơn.

Khả năng điều khiển thời gian thực của TrickMo Android banking malware bao gồm:

• Ghi lại màn hình theo thời gian thực.
• Phát lại thao tác chạm và cử chỉ.
• Tương tác trực tiếp với ứng dụng ngân hàng.
• Chèn và hiển thị trang đăng nhập giả toàn màn hình.

Kỹ thuật né phát hiện và hạ tầng truyền thông

Điểm thay đổi đáng chú ý nhất của biến thể này là cách nó giao tiếp với máy chủ điều khiển. Các phiên bản trước phụ thuộc vào hạ tầng Internet thông thường, còn biến thể mới chuyển toàn bộ truyền thông sang The Open Network (TON), một lớp phủ peer-to-peer phi tập trung.

Thay vì dùng tên miền web thông thường, TrickMo sử dụng các endpoint .adnl được phân giải hoàn toàn trong mạng TON. Các địa chỉ này không tồn tại trong hệ thống địa chỉ Internet công khai, khiến việc gỡ bỏ bằng cơ chế chặn tên miền trở nên kém hiệu quả.

Để tăng khả năng ẩn mình, TrickMo thay trình phân giải DNS của thiết bị bằng một dịch vụ DNS-over-HTTPS cho các kết nối clearnet còn lại. Điều này che khuất truy vấn tên miền khỏi các công cụ giám sát mạng và làm cho lưu lượng trông giống hoạt động hợp lệ của TON.

Ảnh hưởng đến phát hiện tấn công

Sự kết hợp giữa TON, .adnl và DNS-over-HTTPS làm giảm đáng kể hiệu quả của các biện pháp giám sát theo tên miền và phân tích lưu lượng. Ở cấp độ mạng, lưu lượng độc hại có thể hòa lẫn với các kết nối hợp lệ, khiến phát hiện xâm nhập trở nên khó hơn.

Bên cạnh đó, thiết bị bị nhiễm còn được biến thành các nút mạng có thể lập trình. Thông qua SSH tunnelling tích hợp và một SOCKS5 proxy có xác thực trên thiết bị, lưu lượng độc hại được chuyển tiếp qua điện thoại nạn nhân và xuất hiện như lưu lượng phát sinh từ mạng của chính nạn nhân.

Cơ chế này làm sai lệch tín hiệu mà các hệ thống phát hiện tấn công và chống gian lận thường dựa vào.

Phương thức đánh cắp dữ liệu và chiếm quyền điều khiển

Trong bối cảnh cảnh báo CVE thường tập trung vào lỗ hổng phần mềm, TrickMo cho thấy một lớp mối đe dọa khác: lạm dụng tính năng hợp pháp của hệ điều hành để đạt remote code execution ở cấp ứng dụng thông qua thao tác người dùng và quyền Accessibility.

Biến thể này triển khai các trang đăng nhập giả toàn màn hình, mô phỏng sát ứng dụng ngân hàng thật. Khi người dùng nhập thông tin, mã độc ghi lại mọi phím bấm và chuyển dữ liệu ra ngoài nền. Dưới góc độ vận hành, đây là một chuỗi đánh cắp dữ liệu kết hợp với xâm nhập trái phép vào luồng giao dịch.

TrickMo cũng có khả năng quan sát màn hình trực tiếp, mô phỏng thao tác và thực hiện giao dịch gian lận trong khi nạn nhân không nhận ra.

IOC của TrickMo Android banking malware

Phần nội dung gốc có nhắc đến mục IOC, nhưng không cung cấp danh sách chỉ báo cụ thể như IP, domain, hash hoặc path mẫu. Do đó, không thể trích xuất IOC chi tiết từ dữ liệu đã cho.

• IOC cụ thể: Không có trong nội dung nguồn.
• Định dạng nội dung nguồn: Chỉ mô tả hành vi, hạ tầng và kỹ thuật lây nhiễm.

Biện pháp giảm thiểu rủi ro bảo mật

Đối với người dùng, biện pháp giảm thiểu chính là tránh cài ứng dụng sideloaded, không cấp quyền Accessibility cho ứng dụng không rõ nguồn gốc và cập nhật Android thường xuyên. Đây là các bước cơ bản để giảm nguy cơ bảo mật từ mã độc Android banking.

Đối với tổ chức tài chính, cần triển khai giải pháp mobile threat detection có khả năng phát hiện:

• Việc lạm dụng Accessibility bất thường.
• Hành vi tunnelling outbound không điển hình.
• Lưu lượng DNS-over-HTTPS bất thường trên thiết bị khách hàng.
• Hoạt động lớp phủ giả mạo trong ứng dụng ngân hàng.

Trong bối cảnh này, bảo mật thông tin trên thiết bị di động không thể chỉ dựa vào xác thực một lần. Khi thiết bị đã bị chiếm quyền điều khiển, cả đăng nhập, OTP và tương tác giao dịch đều có thể bị can thiệp.

Điểm kỹ thuật cần lưu ý

TrickMo Android banking malware là một ví dụ điển hình của Device Takeover malware, kết hợp nhiều lớp né phát hiện: ứng dụng giả mạo, quyền Accessibility, ghi màn hình, chặn OTP, module runtime và hạ tầng điều khiển trên TON. Mô hình này khiến việc phát hiện xâm nhập theo phương pháp truyền thống gặp nhiều giới hạn.

Nếu hệ thống giám sát chỉ dựa vào domain, IP hoặc lưu lượng web phổ biến, các kết nối qua TON và .adnl có thể bị bỏ sót. Vì vậy, ưu tiên cần đặt vào giám sát hành vi thiết bị, quyền ứng dụng, và các mẫu lưu lượng bất thường thay vì chỉ dựa vào danh sách chặn tĩnh.