Sturnus - Trojan ngân hàng mới có thể theo dõi và chiếm quyền mọi thao tác trên Android

[Kaya]

Giới nghiên cứu an ninh mạng vừa phát hiện một loại mã độc Android mới mang tên Sturnus, được đánh giá là một trong những trojan ngân hàng nguy hiểm nhất hiện nay nhờ khả năng đọc được nội dung sau giải mã, chiếm quyền điều khiển thiết bị từ xa và đánh cắp thông tin tài chính bằng nhiều kỹ thuật tinh vi. Dù đang ở giai đoạn thử nghiệm, Sturnus đã cho thấy mức độ tinh vi tương đương các họ malware trưởng thành như SharkBot hay Xenomorph, mở ra nguy cơ tấn công quy mô lớn tại châu Âu và có thể lan tới những khu vực khác.

Sturnus được một nhóm tác nhân chưa rõ danh tính vận hành, theo đánh giá của các chuyên gia đây là một dự án được phát triển riêng (private) chứ không bán đại trà trên chợ đen. Tên “Sturnus” gợi ý phong cách của nhóm kẻ xấu, có thể tương tự chim sáo đá (Sturnus vulgaris), loài chim nổi tiếng vì khả năng thay đổi tiếng hót và bắt chước.

Các chuyên gia mô tả Sturnus như một “bộ điều khiển từ xa toàn năng” có khả năng can thiệp vào gần như mọi thao tác trên thiết bị Android. Toàn bộ quá trình hoạt động có thể tóm lược theo ba pha chính:

1. Xâm nhập thiết bị​

Sturnus được phát tán dưới dạng ứng dụng Android giả mạo, trá hình thành trình duyệt hoặc tiện ích quen thuộc. Khi người dùng cài đặt và cấp quyền truy cập Accessibility hoặc quyền quản trị thiết bị, malware sẽ:

• Tự đăng ký với máy chủ điều khiển qua WebSocket/HTTP
• Nhận tải trọng mã độc đã mã hóa
• Kích hoạt các mô-đun điều khiển từ xa và đánh cắp thông tin

2. Theo dõi, đánh cắp, giả mạo để lừa người dùng​

Đây là phần khiến Sturnus trở nên đặc biệt nguy hiểm:

• Bypass mã hóa của ứng dụng chat: Sturnus không tấn công vào giao thức mà chụp trực tiếp nội dung đã hiển thị trên màn hình từ WhatsApp, Telegram, Signal. Điều này vượt ngoài khả năng bảo vệ của mã hóa đầu cuối.
• Tấn công overlay ngân hàng: Khi người dùng mở ứng dụng ngân hàng thật, malware sẽ hiển thị một màn hình giả mạo phía trên để thu thông tin đăng nhập. Sau khi lấy được dữ liệu, nó sẽ tự động tắt overlay để tránh nghi ngờ.
• Chiếm quyền điều khiển qua VNC: Kẻ tấn công có thể xem và điều khiển điện thoại theo thời gian thực, bao gồm:
  • Nhập văn bản
  • Nhấn nút
  • Cuộn trang
  • Xác nhận giao dịch
  • Mở ứng dụng ngân hàng
  • Bật quyền truy cập: Điều này tương đương với việc hacker “ngồi ngay cạnh và sử dụng điện thoại của nạn nhân”.
• Giả cập nhật hệ thống: Sturnus có thể chặn toàn bộ màn hình bằng giao diện “đang cập nhật hệ điều hành”, trong khi phía sau kẻ tấn công đang thực hiện hành vi gian lận.

3. Ẩn mình và chống bị gỡ bỏ​

Đây là điểm khiến người dùng rất khó tự xử lý thiết bị nhiễm Sturnus:

• Luôn giám sát trang cài đặt
  Nếu người dùng mở trang để gỡ quyền quản trị hoặc gỡ ứng dụng, Sturnus sẽ tự điều hướng ra khỏi màn hình đó.
• Chặn gỡ cài đặt
  Khi chưa thu hồi quyền quản trị, việc xóa ứng dụng bằng tay hay ADB đều bị khóa.
• Gửi liên tục thông tin môi trường
  Nó thu thập mạng, cảm biến, ứng dụng cài đặt… để điều chỉnh chiến thuật né phát hiện.

Ảnh hưởng với người dùng nguy hiểm ở mức nào?​

Sturnus không chỉ là mã độc ngân hàng thông thường. Nó thực tế có khả năng:

• Chiếm quyền điều khiển toàn bộ điện thoại từ xa
• Đọc mọi thông tin bạn nhìn trên màn hình
• Bỏ qua mã hóa chat “end-to-end”
• Đánh cắp tài khoản ngân hàng, ví điện tử, mã OTP
• Giả mạo cập nhật để che đậy hành vi gian lận
• Ngăn chặn mọi nỗ lực gỡ bỏ của người dùng

• Điều này đồng nghĩa:
  Người dùng có thể bị rút sạch tiền mà không hề biết.
  Tài khoản cá nhân, công việc, liên lạc đều có nguy cơ bị giám sát.
  Chỉ cần mở ứng dụng ngân hàng, bạn đã bị thu thập thông tin.

Vì sao Sturnus nguy hiểm hơn các trojan trước?
Các trojan ngân hàng thường dựa vào:

• Overlay giả
• Đánh cắp SMS/OTP
• Lạm dụng Accessibility

Nhưng Sturnus bổ sung thêm:

• Kỹ thuật capture màn hình sau giải mã
• Điều khiển tương tác từ xa theo thời gian thực
• Tự động chống gỡ cài đặt
• Ẩn mình bằng overlay cập nhật hệ thống
• Khả năng VNC và mô phỏng toàn bộ giao diện thiết bị

Sự kết hợp này biến nó thành một công cụ gian lận tài chính mạnh mẽ, khó bị phát hiện và khó bị loại bỏ.

Không giống nhiều trojan ngân hàng khác, Sturnus tập trung vào Nam và Trung Âu, tấn công người dùng bằng các ứng dụng giả mạo như Google Chrome hay Preemix Box, sau đó triển khai các lớp tấn công nhắm vào ngân hàng theo từng quốc gia. Dù hiện tại phạm vi tấn công còn hạn chế tại châu Âu nhưng các chuyên gia cảnh báo đây là giai đoạn chuẩn bị cho một chiến dịch lớn hơn và không loại trừ khả năng lan rộng toàn cầu.

Người dùng cần làm gì để tự bảo vệ?​

1. Phòng tránh trước tiên

• Chỉ cài ứng dụng từ Google Play hoặc store chính hãng.
• Không cấp quyền Accessibility hoặc Device Admin cho ứng dụng lạ.
• Cảnh giác với app giả mạo Chrome, trình duyệt, tiện ích hệ thống.
• Luôn kiểm tra tên gói ứng dụng khi cài vì malware thường dùng tên lạ.

2. Dấu hiệu nghi ngờ máy đã nhiễm

• Máy tự điều hướng khi bạn vào mục cài đặt gỡ ứng dụng
• Màn hình tự động hiển thị “đang cập nhật” bất thường
• Thiết bị tự mở app ngân hàng hoặc tự cuộn, tự nhấn
• Bị yêu cầu cấp quyền truy cập sâu cho ứng dụng lạ

3. Khắc phục khi nghi ngờ đã nhiễm

• Ngắt mạng và khởi động chế độ Safe Mode
• Thu hồi quyền quản trị thiết bị
• Gỡ ứng dụng lạ, sau đó quét bằng giải pháp bảo mật uy tín
• Nếu không thành công, hãy sao lưu dữ liệu quan trọng và khôi phục cài đặt gốc

4. Tài khoản ngân hàng

• Đổi mật khẩu và liên hệ ngân hàng ngay nếu thấy giao dịch lạ.
• Kích hoạt tính năng bảo vệ giao dịch nâng cao, xác thực sinh trắc học.

Sturnus không chỉ là một malware ngân hàng; nó là minh chứng cho sự tiến hóa của mã độc Android theo hướng:

• Tinh vi hơn
• Tự động hơn
• Tập trung đánh cắp tài chính một cách “âm thầm nhưng tuyệt đối”

Dù phạm vi hiện tại còn hẹp, những gì Sturnus đang thử nghiệm cho thấy đây có thể trở thành một trong những mối đe dọa lớn nhất đối với người dùng Android trong thời gian tới.

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview