Nhóm APT "KONNI" thao túng dịch vụ Google để xóa dữ liệu từ xa trên Android

[Kaya]

Một chiến dịch tấn công mạng vừa được xác nhận tại Hàn Quốc cho thấy mức độ tinh vi ngày càng cao của các nhóm APT (Advanced Persistent Threat – mối đe dọa dai dẳng và có chủ đích). Điều đặc biệt, họ lợi dụng một chức năng hoàn toàn hợp pháp của Google đó là dịch vụ theo dõi thiết bị “Find My Device” (nay được gọi là “Find Hub”), để theo dõi vị trí của nạn nhân và tấn công bằng xóa dữ liệu từ xa thiết bị Android. Đây là một bước chuyển đáng lo ngại trong chiến thuật của nhóm APT, không chỉ trộm dữ liệu mà còn “làm tê liệt” thiết bị để giảm thiểu khả năng phát hiện và phản ứng.

Quá trình tấn công từ lừa đảo đến xóa dữ liệu:

• Bước khởi đầu: Kẻ tấn công gửi email hoặc tin nhắn giả danh cơ quan như Cục Thuế Hàn Quốc hoặc cảnh sát, khiến nạn nhân mở tệp đính kèm kiểu MSI hoặc LNK.
• Khi nạn nhân mở tệp, malware (ví dụ một script AutoIt) sẽ thiết lập tính bền vững (persistency), đăng ký tác vụ định kỳ (scheduled task) và kết nối tới máy chủ điều khiển (C2) đặt tại nhiều quốc gia. Các module RAT (Remote Access Trojan) như RemcosRAT, QuasarRAT, RftRAT được sử dụng để giám sát và điều khiển máy.
• Sau khi chiếm được tài khoản Google của nạn nhân, kẻ tấn công sử dụng dịch vụ “Find My Device” (Find Hub) để xác định vị trí thiết bị Android đang đăng ký, sau đó phát lệnh khóa hoặc xóa toàn bộ dữ liệu (factory reset). Việc này thường được thực hiện khi nạn nhân không sử dụng thiết bị để giảm khả năng bị phát hiện.
• Ngay sau khi thiết bị bị xóa hoặc vô hiệu hóa, kẻ tấn công tiếp tục sử dụng phiên bản PC của ứng dụng nhắn tin KakaoTalk (đã đăng nhập bởi nạn nhân) để gửi malware tới danh sách liên lạc của họ – tiếp tục mở rộng chuỗi lây nhiễm.

Đây không chỉ là vụ đánh cắp dữ liệu thông thường. Hành động xóa dữ liệu từ xa khiến thiết bị bị vô hiệu hóa, nạn nhân mất quyền kiểm soát trước khi kịp phản ứng, đồng thời kẻ tấn công có thể mở rộng sang liên lạc của họ thông qua KakaoTalk. Theo phân tích:

• Thiệt hại cá nhân có thể rất lớn: Mất dữ liệu quan trọng trên điện thoại, máy tính, tài khoản và liên lạc bị xâm nhập.
• Mức độ nguy hiểm: Cao vì kẻ tấn công thao tác ở nhiều tầng (email → PC → Google account → Android device → messenger contacts).
• Phạm vi: Ban đầu đang tập trung tại Hàn Quốc, nhưng mô hình này có khả năng mở rộng rộng nếu kẻ tấn công tìm được mục tiêu tương tự ở nước khác hoặc những người sử dụng dịch vụ tương tự.

Tại sao sự việc này đáng lưu ý?

• Đây là lần đầu tiên bị xác nhận: Nhóm APT này chiếm quyền tài khoản Google và sử dụng một dịch vụ quản lý thiết bị Android hợp pháp để thực hiện xóa dữ liệu từ xa.
• Họ không chỉ phát tán malware theo cách truyền thống mà còn lợi dụng tài khoản và thiết bị bị xâm nhập để lan rộng tiếp thông qua kênh xã hội (KakaoTalk).
• Việc dùng một dịch vụ hợp pháp như Find Hub cho mục đích tấn công cho thấy: “cửa hậu” không nằm ở phần mềm lạ, mà ở quyền kiểm soát tài khoản và thiết bị hợp pháp khiến việc phòng ngừa phức tạp hơn.

Đối với người dùng cá nhân và tổ chức, nên lưu ý các điểm sau:

• Bảo mật tài khoản Google:
  • Đổi mật khẩu ngay nếu có nghi vấn bị truy cập.
  • Bật xác thực hai bước (2FA) và ưu tiên sử dụng khóa vật lý hoặc ứng dụng xác thực.
• Kiểm soát thiết bị:
  • Cẩn trọng với việc đăng nhập tài khoản Google trên thiết bị không tin cậy.
  • Hạn chế quyền mà các ứng dụng có thể sử dụng, đặc biệt các ứng dụng yêu cầu quyền quản trị thiết bị.
• Cảnh giác với email/tin nhắn giả mạo:
  • Email dẫn dụ với nội dung giả danh cơ quan thuế, cảnh sát hay tổ chức nhân quyền — cảnh báo cao.
  • Không mở tệp đính kèm hoặc chạy phần mềm nếu không chắc.
• Giải pháp kỹ thuật cho tổ chức:
  • Triển khai hệ thống EDR (Endpoint Detection and Response) để phát hiện hành vi bất thường: chạy script AutoIt từ MSI; kết nối đến C2; các tác vụ được đăng ký định kỳ không rõ nguồn.
  • Theo dõi các chỉ dấu IOC: Xuất hiện RemcosRAT / QuasarRAT / RftRAT; lưu lượng mạng bất thường tới máy chủ nước ngoài; đăng nhập Google từ IP lạ.
  • Có quy trình cách ly thiết bị bị nghi nhiễm và khôi phục tài khoản bị chiếm trước khi khôi phục thiết bị.

Vụ tấn công này đánh dấu một bước tiến mới và nguy hiểm trong cách mà các nhóm APT hoạt động, sử dụng một nền tảng hợp pháp để xâm nhập sâu và gây thiệt hại lớn trước khi bị phát hiện. Dù mục tiêu ban đầu là Hàn Quốc, nhưng người dùng ở bất kỳ quốc gia nào nếu có cấu hình tương tự (tài khoản Google, thiết bị Android, ứng dụng nhắn tin phổ biến) cũng đều có thể nằm trong tầm ngắm. Việc bảo vệ không chỉ là chống malware mà còn là quản trị tốt tài khoản và thiết bị, nâng cao nhận thức người dùng và chuẩn bị kỹ thuật từ sớm.

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview