Các chuyên gia an ninh mạng vừa phát hiện một chiến dịch gián điệp mới nhắm vào người dùng Android, trong đó phần mềm độc hại SpyNote được ngụy trang dưới dạng các ứng dụng quen thuộc nhằm đánh lừa người dùng tải xuống và tự cài đặt mã độc vào thiết bị của mình.
SpyNote từng nổi tiếng từ cuối 2022 khi mã nguồn bị rò rỉ trên mạng và từ đó các biến thể của nó liên tục xuất hiện với thủ đoạn ngày càng tinh vi. Chúng ẩn mình trong các ứng dụng quen thuộc như: Google Translate, Temp Mail, Deutsche Postbank... Không chỉ tinh vi ở hình thức, mã độc này còn lây lan thông qua các thư mục công khai trên internet, cho thấy sự kết hợp nguy hiểm giữa cấu hình máy chủ yếu kém và kỹ thuật ngụy trang tinh vi.
SpyNote khai thác các lỗ hổng bảo mật để xâm nhập thiết bị, lấy cắp dữ liệu nhạy cảm như: Vị trí, danh bạ và tin nhắn. Đồng thời, có thể điều khiển thiết bị của người dùng từ xa thông qua các máy chủ C2 thay đổi liên tục. Các mẫu mã độc này thường xuất hiện trong các thư mục mở và sử dụng các công cụ độc hại phức tạp, gây ra rủi ro lớn cho người dùng cá nhân và doanh nghiệp.
Cuộc điều tra của các chuyên gia đã phát hiện hàng loạt tệp tin .apk chứa mã độc SpyNote nằm trong các thư mục công khai (open directory) trên internet, nơi lưu trữ mà bất kỳ ai cũng có thể truy cập và tải xuống.
Việc duy trì các cấu hình máy chủ an toàn, kiểm tra kỹ quyền truy cập của ứng dụng và sử dụng các dịch vụ phân tích mối đe dọa uy tín là cách phòng ngừa hiệu quả để đảm bảo an ninh mạng trước các mối đe dọa ngày càng tinh vi này. Người dùng Android cần nâng cao cảnh giác, đặc biệt khi cài đặt ứng dụng ngoài. Một cái chạm hay click nhầm có thể biến điện thoại thành công cụ theo dõi chính bạn.
SpyNote khai thác các lỗ hổng bảo mật để xâm nhập thiết bị, lấy cắp dữ liệu nhạy cảm như: Vị trí, danh bạ và tin nhắn. Đồng thời, có thể điều khiển thiết bị của người dùng từ xa thông qua các máy chủ C2 thay đổi liên tục. Các mẫu mã độc này thường xuất hiện trong các thư mục mở và sử dụng các công cụ độc hại phức tạp, gây ra rủi ro lớn cho người dùng cá nhân và doanh nghiệp.
Cuộc điều tra của các chuyên gia đã phát hiện hàng loạt tệp tin .apk chứa mã độc SpyNote nằm trong các thư mục công khai (open directory) trên internet, nơi lưu trữ mà bất kỳ ai cũng có thể truy cập và tải xuống.
Vậy SpyNote hoạt động ra sao?
Kỹ thuật giả mạo ứng dụng
- Các tệp APK được đặt tên và thiết kế giống hệt như ứng dụng thật, ví dụ: Translate.apk (giống giao diện Google Translate).
- Trong một mẫu cụ thể, mã độc đã vô tình để lộ placeholder chuỗi chưa hoàn thiện trong phần yêu cầu quyền Accessibility khiến các nhà nghiên cứu nhận ra điểm bất thường.
Khai thác quyền hệ thống
SpyNote lợi dụng quyền Accessibility và quyền quản trị thiết bị (Device Administrator), cho phép:- Truy cập vị trí GPS
- Đọc SMS, danh bạ
- Theo dõi thao tác người dùng
- Điều khiển thiết bị từ xa
Cơ chế liên lạc và điều khiển
- Ngay sau khi cài đặt, ứng dụng kết nối tới máy chủ điều khiển (C2) của hacker, thường được đặt cùng hạ tầng với thư mục phát tán ban đầu.
- Một số mẫu còn dùng Cobalt Strike, Sliver – đây là các công cụ xâm nhập chuyên nghiệp, cho thấy đây là chiến dịch có tổ chức.
Ảnh hưởng và mức độ nguy hiểm
| Tiêu chí | Đánh giá |
|---|---|
| Mức độ nguy hiểm | Cực kỳ nghiêm trọng |
| Thiết bị ảnh hưởng | Điện thoại Android (toàn cầu) |
| Cách phát tán | Tải từ link lạ, thư mục mở, app giả |
| Quyền truy cập | Gần như toàn quyền người dùng |
| Nguy cơ | Gián điệp cá nhân, đánh cắp tài khoản ngân hàng, định vị, nghe lén |
Những dấu hiệu cần cảnh giác
- Ứng dụng yêu cầu quyền quá mức như Accessibility, quyền quản trị thiết bị.
- Không tải app từ các trang không chính thức (như qua link Google Drive, thư mục file “mở”).
- Tên file đáng ngờ (ví dụ Translate.apk thay vì từ CH Play).
- Ứng dụng mới cài có biểu hiện bất thường như yêu cầu đăng nhập lại tài khoản ngân hàng.
Khuyến nghị kỹ thuật và cho người dùng
Đối với các Admin/IT:- Chặn truy cập thư mục mở chưa cấu hình bảo mật
- Giám sát lưu lượng đến các domain C2 khả nghi
- Sử dụng EDR/MDR để phát hiện hành vi bất thường trên thiết bị Android quản lý nội bộ
- Chỉ cài ứng dụng từ CH Play hoặc App Store chính thức
- Kiểm tra kỹ tên nhà phát triển trước khi cài đặt
- Không cấp quyền Accessibility nếu không cần thiết
- Sử dụng ứng dụng diệt virus trên mobile từ các hãng uy tín
Việc duy trì các cấu hình máy chủ an toàn, kiểm tra kỹ quyền truy cập của ứng dụng và sử dụng các dịch vụ phân tích mối đe dọa uy tín là cách phòng ngừa hiệu quả để đảm bảo an ninh mạng trước các mối đe dọa ngày càng tinh vi này. Người dùng Android cần nâng cao cảnh giác, đặc biệt khi cài đặt ứng dụng ngoài. Một cái chạm hay click nhầm có thể biến điện thoại thành công cụ theo dõi chính bạn.
Theo WhiteHat.vn
