Tấn Công Phishing Android Nguy Hiểm Lợi Dụng Firebase

Tin tức bảo mật mới nhất cho thấy tội phạm mạng đang gia tăng các tấn công phishing Android tinh vi, ngụy trang ứng dụng độc hại dưới dạng cơ hội thử nghiệm beta cho các công cụ ChatGPT và quảng cáo của Meta. Mục tiêu chính là đánh cắp thông tin đăng nhập Facebook và chiếm quyền kiểm soát hoàn toàn tài khoản người dùng, bao gồm cả tài khoản doanh nghiệp và quảng cáo.

Chiến Dịch Lừa Đảo Phishing Tấn Công Android

Những gì thoạt nhìn có vẻ là lời mời thử nghiệm ứng dụng hợp pháp thực chất là một âm mưu được tính toán kỹ lưỡng. Chiến dịch này phản ánh xu hướng ngày càng tăng, trong đó các đối tượng đe dọa (threat actors) lợi dụng niềm tin rộng rãi của người dùng vào các thương hiệu AI nổi tiếng để cài đặt mã độc trực tiếp vào thiết bị di động của họ.

Cơ Chế Khai Thác Firebase App Distribution

Cuộc tấn công bắt đầu bằng một email mời có vẻ hoàn toàn bình thường. Các tin nhắn được gửi từ địa chỉ [email protected], một địa chỉ hợp lệ liên quan đến nền tảng Firebase App Distribution của Google.

Đây là dịch vụ mà các nhà phát triển thường xuyên sử dụng để chia sẻ các bản dựng ứng dụng chưa phát hành với những người thử nghiệm được chọn. Do email xuất phát từ một dịch vụ Google thật, hầu hết người nhận không có lý do gì để nghi ngờ tính hợp pháp của nó.

Các tin nhắn này yêu cầu người dùng thử nghiệm các phiên bản truy cập sớm của ứng dụng ChatGPT và quảng cáo Meta dành cho Android. Việc nhấp vào dẫn đến cài đặt các tệp APK độc hại từ bên ngoài Cửa hàng Play chính thức của Google.

Phân Tích Kỹ Thuật Tấn Công

Các nhà phân tích của LevelBlue SpiderLabs đã xác định chiến dịch nhắm mục tiêu vào Android này là sự tiếp nối trực tiếp của một chiến dịch lừa đảo trước đó nhắm vào người dùng iOS. Trong chiến dịch trước, kẻ tấn công đã giả mạo ChatGPT và Google Gemini để đẩy các ứng dụng giả mạo lên thiết bị Apple thông qua App Store.

Với việc Android hiện đang nằm trong tầm ngắm, các đối tượng đe dọa dường như đang thực hiện một hoạt động phối hợp đa nền tảng. Mục đích là để giăng một cái bẫy rộng nhất có thể trên toàn bộ cơ sở người dùng di động toàn cầu.

Chiến dịch này được công bố rộng rãi vào cuối tháng 3 năm 2026. Các tên gói độc hại liên quan đến hoạt động bao gồm com.OpenAIGPTAds, com.opengpt.ads, và com.meta.adsmanager.

Các định danh gói này được xây dựng để giống với các tên hợp lý cho các công cụ quảng cáo dựa trên AI. Điều này khiến chúng khó bị nghi ngờ hơn nếu không xem xét kỹ lưỡng.

Khi được cài đặt, các ứng dụng hiển thị một trang đăng nhập Facebook giả mạo nhưng rất giống thật, nhắc người dùng nhập thông tin đăng nhập của họ. Mục tiêu cuối cùng là chiếm quyền điều khiển tài khoản, cung cấp cho kẻ tấn công quyền truy cập vào các tài khoản doanh nghiệp và quảng cáo của Facebook.

Các tài khoản bị đánh cắp sau đó có thể được sử dụng cho các chiến dịch quảng cáo trái phép hoặc các vụ đánh cắp dữ liệu rộng lớn hơn. Đây là một rủi ro bảo mật nghiêm trọng đối với người dùng và doanh nghiệp.

Kỹ Thuật Vượt Qua Hàng Rào Bảo Mật

Điểm nổi bật nhất về mặt kỹ thuật của chiến dịch này là cách nó biến Firebase App Distribution thành một cơ chế phân phối mã độc Android. Firebase App Distribution là một dịch vụ của Google cho phép các nhà phát triển gửi các bản dựng thử nghiệm ứng dụng của họ cho một nhóm nhỏ người dùng trước khi phát hành rộng rãi.

Những người thường xuyên tham gia thử nghiệm ứng dụng đã quen với việc tin tưởng các email mời này. Kẻ tấn công khai thác chính thói quen đó để thực hiện tấn công phishing Android.

Các email lừa đảo trông không khác gì một lời mời từ nhà phát triển hợp pháp, không cung cấp cho người nhận bất kỳ dấu hiệu trực quan rõ ràng nào cho thấy có điều gì đó không ổn.

Bằng cách định tuyến phân phối thông qua một kênh Google đã được thiết lập, kẻ tấn công đã vượt qua hai điểm cảnh báo mà người dùng cẩn thận thường theo dõi: một địa chỉ người gửi đáng ngờ và một liên kết tải xuống không chính thức.

Vì email đến từ [email protected] và ứng dụng được phân phối thông qua cơ sở hạ tầng phân phối của Google, bộ lọc thư rác của ứng dụng email hoặc bản năng tự nhiên của người dùng khó có thể phát hiện cảnh báo. Các ứng dụng được cài đặt bên ngoài Cửa hàng Play, bỏ qua hoàn toàn quy trình xem xét của Google, cho phép hành vi độc hại tiếp cận thiết bị mà không bị kiểm tra.

Chỉ Số Lây Nhiễm (IOCs) và Biện Pháp Phòng Ngừa

Các nhà nghiên cứu của SpiderLabs đã xác định thêm một số miền email độc hại đang tích cực hỗ trợ chiến dịch tấn công phishing Android này. Người dùng và các đội bảo mật cần coi đây là các chỉ số lây nhiễm (IOCs) đang hoạt động và chặn chúng ở cấp độ mạng ngay lập tức.

Danh Sách Các Chỉ Số Lây Nhiễm (IOCs)

• Tên gói (Package Names):
  • com.OpenAIGPTAds
  • com.opengpt.ads
  • com.meta.adsmanager
• Miền độc hại (Malicious Domains):
  • thcsmyxa-nd[.]com
  • moitasec[.]com
  • tourmini[.]site
  • ocngongiare[.]com
  • disanviet[.]homes
  • itrekker[.]space

Khuyến Nghị Bảo Mật

Người dùng Android nên cảnh giác cao độ với bất kỳ lời mời thử nghiệm ứng dụng không mong muốn nào, ngay cả khi chúng dường như đến từ các địa chỉ của Google. Ứng dụng chỉ nên được tải xuống từ Cửa hàng Google Play chính thức.

Người dùng không bao giờ nên nhập thông tin đăng nhập Facebook bên trong một ứng dụng không được tải xuống thông qua một kênh đáng tin cậy, đã được xác minh. Việc này là cực kỳ quan trọng để ngăn chặn đánh cắp dữ liệu cá nhân và thông tin nhạy cảm.

Các quản trị viên mạng và đội ngũ an ninh được khuyến cáo chặn ngay lập tức các miền độc hại đã được xác định. Các tổ chức nên đảm bảo nhân viên của mình được thông báo đầy đủ về hình thức tấn công kỹ thuật xã hội ngày càng phổ biến này.

Việc nâng cao nhận thức về các kỹ thuật tấn công phishing Android là một phần không thể thiếu trong chiến lược an toàn thông tin tổng thể.