Mã độc Android Perseus: Mối đe dọa nghiêm trọng mới

Một biến thể mới của phần mềm độc hại ngân hàng Android, có tên là mã độc Perseus, đã xuất hiện và đại diện cho bước phát triển tiếp theo trong xu hướng mã độc di động. Phát triển dựa trên mã nguồn bị rò rỉ của Cerberus và kế thừa trực tiếp từ nền tảng Phoenix, Perseus đã tinh chỉnh và mở rộng đáng kể các khả năng của những phiên bản tiền nhiệm.

Mã độc Perseus kết hợp nhiều tính năng nguy hiểm, bao gồm đánh cắp thông tin đăng nhập, giám sát thiết bị theo thời gian thực, và một khả năng hiếm thấy là đọc ghi chú cá nhân một cách âm thầm từ thiết bị bị nhiễm. Điều này khiến nó trở thành một trong những mối đe dọa Android nguy hiểm nhất hiện nay, gây ra rủi ro bảo mật nghiêm trọng cho người dùng.

Nội dung

Nguồn Gốc và Khả Năng Nâng Cao của Mã Độc Perseus

Phương Thức Lây Nhiễm và Phạm Vi Tấn Công Mạng

Phân Tích Kỹ Thuật từ Chuyên Gia

Cơ Chế Hoạt Động và Chiếm Quyền Kiểm Soát Thiết Bị

Khai Thác Đặc Biệt: Đọc Ghi Chú Cá Nhân

Tác Động Toàn Diện và Biện Pháp Phòng Ngừa An Ninh Mạng

Nguồn Gốc và Khả Năng Nâng Cao của Mã Độc Perseus

Perseus được xây dựng trên nền tảng vững chắc từ mã nguồn của Cerberus và Phoenix, hai mã độc ngân hàng Android đã được biết đến. Sự kết hợp này cho phép mã độc Perseus thừa hưởng các kỹ thuật tấn công đã được thử nghiệm và đồng thời phát triển các phương pháp mới, nâng cao hiệu quả khai thác.

Các khả năng cốt lõi của Perseus bao gồm khả năng thực hiện credential theft (đánh cắp thông tin đăng nhập) tinh vi. Nó được thiết kế để nhắm mục tiêu vào các ứng dụng ngân hàng và tài chính, thu thập thông tin nhạy cảm của người dùng.

Bên cạnh đó, mã độc Perseus còn có khả năng giám sát thiết bị theo thời gian thực. Điều này cho phép kẻ tấn công theo dõi hoạt động của nạn nhân, thu thập dữ liệu và điều khiển thiết bị từ xa một cách hiệu quả.

Một tính năng nổi bật khác là khả năng đọc ghi chú cá nhân một cách âm thầm. Đây là một khả năng đặc biệt nguy hiểm, nhắm vào những thông tin nhạy cảm mà người dùng thường lưu trữ trong các ứng dụng ghi chú. Để biết thêm chi tiết về phân tích kỹ thuật của mã độc Perseus, bạn có thể tham khảo báo cáo chuyên sâu từ ThreatFabric: Perseus: DTO Malware That Takes Notes.

Phương Thức Lây Nhiễm và Phạm Vi Tấn Công Mạng

Mã độc Perseus lây lan thông qua các chiến dịch tấn công mạng có mục tiêu, chủ yếu nhắm vào người dùng ở Thổ Nhĩ Kỳ và Ý. Tuy nhiên, phạm vi ảnh hưởng của nó không giới hạn, mở rộng đến Ba Lan, Đức, Pháp, UAE, Bồ Đào Nha và các nền tảng tiền điện tử.

Các tác nhân đe dọa phân phối mã độc Perseus thông qua các ứng dụng IPTV giả mạo. Đây là một chiến thuật hiệu quả để bỏ qua Google Play Store bằng cách khai thác sự quen thuộc của người dùng với việc cài đặt các tệp APK từ bên ngoài (sideloading).

Khi ngụy trang thành một dịch vụ phát trực tuyến hợp pháp, Perseus làm giảm sự nghi ngờ của người dùng và tăng tỷ lệ lây nhiễm thành công. Ngoài ra, một ứng dụng dropper cũng được sử dụng để vượt qua các hạn chế cài đặt trên Android 13 trở lên, khiến quá trình lây nhiễm khó bị phát hiện hơn đáng kể.

Phân Tích Kỹ Thuật từ Chuyên Gia

Các nhà phân tích của ThreatFabric đã xác định mã độc Perseus là một phần của chiến dịch đang hoạt động và ghi nhận các liên kết của nó với cơ sở hạ tầng được chia sẻ với các họ mã độc khác, bao gồm Medusa và Klopatra.

Tên của mã độc được lấy trực tiếp từ bảng điều khiển C2 (Command and Control) được quan sát trong nhiều phân tích chiến dịch, xác nhận đây là một mối đe dọa có chủ đích và được xây dựng chuyên biệt.

Các nhà phân tích cũng đã xác định hai nhánh chính của mã độc Perseus: một phiên bản được viết bằng tiếng Anh với các tính năng gỡ lỗi mở rộng, và một phiên bản tiếng Thổ Nhĩ Kỳ kín đáo hơn. Cả hai phiên bản này đều đang tích cực nhắm mục tiêu vào các tổ chức tài chính và dữ liệu người dùng trên nhiều khu vực khác nhau.

Cơ Chế Hoạt Động và Chiếm Quyền Kiểm Soát Thiết Bị

Sau khi được cài đặt, mã độc Perseus yêu cầu quyền Accessibility Service (Dịch vụ Trợ năng). Các quyền này trở thành xương sống cho hoạt động của mã độc, cho phép nó giám sát màn hình, chặn đầu vào của người dùng và mô phỏng các tương tác chạm mà không hiển thị bất kỳ dấu hiệu hoạt động nào.

Mã độc Perseus thực hiện các cuộc tấn công overlay bằng cách hiển thị các trang đăng nhập giả mạo chồng lên các ứng dụng ngân hàng hợp pháp. Trong khi đó, khả năng keylogging (ghi lại thao tác bàn phím) của nó ghi lại mọi thứ người dùng nhập.

Khi kết hợp với các tính năng điều khiển từ xa, điều này mang lại cho kẻ tấn công quyền kiểm soát tương tác hoàn toàn đối với thiết bị đã bị xâm nhập. Kẻ tấn công có thể thực hiện gian lận và ủy quyền các giao dịch mà nạn nhân không hề hay biết, dẫn đến nguy cơ mất tài sản nghiêm trọng.

Khai Thác Đặc Biệt: Đọc Ghi Chú Cá Nhân

Điều làm cho mã độc Perseus khác biệt so với hầu hết các trojan ngân hàng Android là khả năng nhắm mục tiêu vào các ứng dụng ghi chú trên thiết bị của nạn nhân. Nhiều người thường lưu trữ mật khẩu, cụm từ khôi phục tiền điện tử và chi tiết tài khoản tài chính trong các ứng dụng ghi chú mà không nhận ra rủi ro bảo mật tiềm ẩn.

Perseus khai thác điểm yếu này thông qua một lệnh có tên là scan_notes. Lệnh này xác định các ứng dụng ghi chú đã cài đặt và âm thầm mở từng ứng dụng để đọc nội dung được lưu trữ, tất cả đều không có bất kỳ tương tác nào từ người dùng.

Toàn bộ quy trình này chạy âm thầm trong nền mà nạn nhân không hề hay biết. Tất cả dữ liệu ghi chú bị chiếm đoạt sẽ được ghi lại và chuyển tiếp đến máy chủ C2 của kẻ tấn công, cùng với các thông tin đăng nhập bị đánh cắp và thông tin thiết bị khác.

Các ứng dụng ghi chú được Perseus giám sát và nhắm mục tiêu bao gồm:

Google Keep
Xiaomi Notes
Samsung Notes
ColorNote
Evernote
Microsoft OneNote
Simple Notes Pro
Simple Notes

Việc nhắm mục tiêu rộng rãi này phản ánh một nỗ lực tính toán để trích xuất dữ liệu cá nhân và tài chính có giá trị cao mà các nạn nhân thường cho rằng an toàn trên thiết bị của họ.

Tác Động Toàn Diện và Biện Pháp Phòng Ngừa An Ninh Mạng

Tác động rộng lớn của mã độc Perseus là không thể đánh giá thấp. Nó nhắm mục tiêu vào hơn 50 tổ chức tại 8 quốc gia và 9 nền tảng tiền điện tử, thể hiện một mối đe dọa tài chính nghiêm trọng. Khả năng thực hiện chiếm quyền điều khiển hoàn toàn thiết bị trong khi vẫn ẩn mình chứng tỏ mức độ phát triển của mã độc Android ngân hàng hiện đại.

Để bảo vệ thiết bị khỏi các mối đe dọa như mã độc Perseus, người dùng cần thực hiện các biện pháp an ninh mạng sau:

Tránh cài đặt ứng dụng từ các nguồn không chính thức, tức là bên ngoài các cửa hàng ứng dụng uy tín như Google Play Store. Luôn kiểm tra kỹ nguồn gốc của ứng dụng trước khi cài đặt.
Đảm bảo rằng tính năng Google Play Protect luôn được bật và hoạt động trên thiết bị Android của bạn. Tính năng này cung cấp một lớp bảo vệ bổ sung bằng cách quét các ứng dụng và thiết bị để tìm kiếm các mối đe dọa tiềm ẩn.
Thường xuyên cập nhật thiết bị Android của bạn với các bản vá bảo mật mới nhất. Các bản cập nhật này thường chứa các bản sửa lỗi cho các lỗ hổng đã biết mà mã độc có thể khai thác.
Quan trọng nhất, người dùng tuyệt đối không nên lưu trữ mật khẩu, cụm từ khôi phục ví điện tử hoặc các thông tin đăng nhập nhạy cảm trong các ứng dụng ghi chú. Mã độc lợi dụng Accessibility Services có thể truy cập dữ liệu này mà không hề cảnh báo chủ sở hữu thiết bị.