Nguy hiểm! Mã độc GhostChat lừa đảo tình cảm, đánh cắp dữ liệu Android

Một chiến dịch mã độc gián điệp Android mới đã được phát hiện, nhắm mục tiêu vào người dùng thông qua một chiến thuật lừa đảo tình cảm tinh vi. Chiến dịch này sử dụng các hồ sơ hẹn hò giả mạo để đánh cắp thông tin cá nhân từ các nạn nhân.

Ứng dụng độc hại, được định danh là GhostChat, ngụy trang thành một nền tảng trò chuyện hợp pháp nhưng bí mật thực hiện các hoạt động giám sát ngầm. Cuộc tấn công này cho thấy một mối đe dọa mạng nguy hiểm, kết hợp kỹ thuật xã hội với khả năng phần mềm gián điệp tiên tiến để xâm nhập thiết bị di động và truy cập dữ liệu nhạy cảm.

Phân phối và Kỹ thuật Lừa đảo Xã hội của GhostChat

Chiến dịch mã độc gián điệp này được phát hiện sau khi một ứng dụng Android đáng ngờ được tải lên VirusTotal vào tháng 9 năm 2025. GhostChat mạo danh một ứng dụng hẹn hò với tên gọi “Dating Apps without payment”, sử dụng biểu tượng của một ứng dụng hợp pháp hiện có trên Google Play.

Tuy nhiên, phiên bản độc hại này không được phân phối qua các cửa hàng ứng dụng chính thức. Nạn nhân được yêu cầu cài đặt thủ công bằng cách cho phép ứng dụng từ các nguồn không xác định. Phương pháp phân phối này giúp các tác nhân đe dọa tránh được sự phát hiện của Google Play Protect trong giai đoạn cài đặt ban đầu.

Các nhà phân tích của Welivesecurity đã lưu ý rằng GhostChat sử dụng một lớp ngụy trang bất thường, giúp nó khác biệt so với các mối đe dọa di động thông thường. Ứng dụng này hiển thị 14 hồ sơ nữ giả mạo, mỗi hồ sơ được đánh dấu là “Locked” và yêu cầu mã truy cập.

Các mã này được mã hóa cứng trong ứng dụng và phân phối cùng với ứng dụng để tạo ảo giác về quyền truy cập độc quyền cho các nạn nhân tiềm năng. Khi nạn nhân nhập đúng mã mở khóa, họ sẽ được chuyển hướng đến WhatsApp để bắt đầu các cuộc trò chuyện với các số điện thoại do các tác nhân đe dọa điều hành, tất cả đều mang mã vùng Pakistan để tăng cường độ tin cậy của trò lừa đảo.

Khả năng Giám sát và Đánh Cắp Dữ liệu

Trong khi nạn nhân tương tác với những gì họ tin là hồ sơ hẹn hò thật, mã độc gián điệp hoạt động âm thầm trong nền, đánh cắp dữ liệu thiết bị và gửi về máy chủ command-and-control (C2). Dữ liệu này bao gồm các định danh thiết bị, danh sách liên hệ và các tập tin được lưu trữ trên thiết bị, chẳng hạn như hình ảnh, tệp PDF và tài liệu Microsoft Office.

GhostChat thiết lập cơ chế giám sát liên tục bằng cách cấu hình các trình theo dõi nội dung (content observers) để giám sát các hình ảnh mới được tạo. Đồng thời, nó lên lịch quét định kỳ cứ mỗi năm phút để phát hiện các tài liệu mới, đảm bảo việc thu thập dữ liệu liên tục trong suốt thời gian lây nhiễm. Đây là một phương pháp hiệu quả để đánh cắp dữ liệu một cách có hệ thống.

Cơ chế Lây nhiễm và Duy trì trên Thiết bị

GhostChat thể hiện các cơ chế lây nhiễm và duy trì tinh vi được thiết kế để duy trì quyền truy cập lâu dài vào các thiết bị đã bị xâm nhập. Khi cài đặt, ứng dụng yêu cầu nhiều quyền tưởng chừng như tiêu chuẩn cho một ứng dụng trò chuyện. Tuy nhiên, các quyền này thực chất cho phép các khả năng giám sát rộng rãi.

Duy trì hoạt động liên tục

Phần mềm gián điệp này tận dụng broadcast intent BOOT_COMPLETED của Android, cho phép nó tự động kích hoạt bất cứ khi nào thiết bị khởi động lại. Điều này đảm bảo hoạt động bền bỉ của mã độc ngay cả sau khi thiết bị khởi động lại.

<receiver android:name=".StartupReceiver" android:enabled="true" android:exported="false"> <intent-filter> <action android:name="android.intent.action.BOOT_COMPLETED" /> <category android:name="android.intent.category.DEFAULT" /> </intent-filter></receiver>

Ngoài ra, mã độc sử dụng các kỹ thuật duy trì hoạt động ở chế độ nền (foreground persistence). Điều này giúp dịch vụ giám sát của nó liên tục chạy mà người dùng không hề hay biết. Phương pháp này ngăn các tính năng tối ưu hóa pin của Android chấm dứt tiến trình của phần mềm gián điệp, duy trì quyền truy cập không bị gián đoạn vào tài nguyên thiết bị.

Giao tiếp với Máy chủ Command-and-Control

Ứng dụng giao tiếp với cơ sở hạ tầng command-and-control (C2) của nó bằng các yêu cầu HTTPS. Việc này làm cho việc phát hiện trở nên khó khăn hơn, vì lưu lượng truy cập xuất hiện tương tự như các giao tiếp được mã hóa hợp pháp. Kiến trúc của GhostChat hỗ trợ cả việc trích xuất dữ liệu ngay lập tức khi thực thi lần đầu và giám sát liên tục trong suốt vòng đời lây nhiễm. Điều này tạo ra một khung giám sát toàn diện hoạt động độc lập với tương tác của người dùng với giao diện hẹn hò giả mạo.

Để biết thêm chi tiết về phân tích kỹ thuật của GhostChat, bạn có thể tham khảo báo cáo của Welivesecurity.