Theo cảnh báo mới từ Tập đoàn công nghệ Bkav, một chiến dịch tấn công mạng quy mô lớn đang nhắm vào người dùng điện thoại Android tại Việt Nam. Các đối tượng tấn công được xác định có nguồn gốc từ Trung Quốc, sử dụng nhiều kỹ thuật tinh vi để phát tán mã độc và chiếm quyền kiểm soát thiết bị.

Bkav cho biết, tin tặc đã tạo ra hàng loạt website giả mạo các cơ quan, tổ chức uy tín như Ngân hàng Nhà nước Việt Nam (SBV), Sacombank (Sacombank Pay), Tổng công ty Điện lực miền Trung (EVNCPC), hệ thống đăng kiểm xe ô tô (TTDK)... để dụ người dùng tải về ứng dụng chứa mã độc. Các ứng dụng này thường được ngụy trang dưới tên gần giống ứng dụng thật, ví dụ như “SBV.apk”, được lưu trữ trên nền tảng đám mây Amazon S3 nhằm dễ dàng cập nhật, thay đổi nội dung và che giấu hành vi độc hại.

Những ứng dụng giả mạo này thường được phát tán thông qua email, tin nhắn trên các nền tảng chat, hoặc thậm chí qua quảng cáo trên công cụ tìm kiếm. Ngay sau khi được cài đặt, ứng dụng yêu cầu quyền truy cập sâu vào hệ thống, đặc biệt là quyền trợ năng (Accessibility) và hiển thị lớp phủ (Overlay). Khi kết hợp hai quyền này, tin tặc có thể ghi nhận thao tác của người dùng, đọc tin nhắn SMS, đánh cắp mã OTP, truy cập danh bạ, thậm chí thao tác điều khiển từ xa mà không để lại dấu vết rõ ràng.

Thông qua quá trình phân tích kỹ thuật, Trung tâm phân tích mã độc của Bkav đã dịch ngược mã nguồn của loại virus này – được đặt tên là RedHook – và phát hiện nó tích hợp tới 34 lệnh điều khiển từ xa.

Các lệnh bao gồm chụp màn hình, gửi và nhận tin nhắn, cài/gỡ ứng dụng, khóa hoặc mở thiết bị, thực thi lệnh hệ thống… Đặc biệt, RedHook sử dụng API MediaProjection để ghi lại toàn bộ nội dung hiển thị trên màn hình, sau đó gửi về máy chủ điều khiển. Nó còn được tích hợp cơ chế xác thực bằng JSON Web Token (JWT), cho phép duy trì quyền kiểm soát thiết bị trong thời gian dài, kể cả sau khi khởi động lại.

Bkav phát hiện nhiều đoạn mã và giao diện sử dụng ngôn ngữ Trung Quốc, cùng với các dấu vết kỹ thuật khác cho thấy mã độc RedHook là sản phẩm của một nhóm tin tặc có tổ chức. Chiến dịch phát tán này được xây dựng bài bản cả về mặt kỹ thuật lẫn kịch bản lừa đảo. Một số tên miền được sử dụng để phát tán mã độc như mailisa[.]me – từng bị lợi dụng trong các chiến dịch trước – cho thấy RedHook không hoạt động độc lập mà là một phần của chuỗi tấn công liên tiếp.

Các máy chủ điều khiển (C2 server) của RedHook được xác định là api9.iosgaxx423.xyz và skt9.iosgaxx423.xyz, đều là các tên miền nước ngoài, ẩn danh, gây khó khăn trong việc truy vết.

Bkav cảnh báo rằng điện thoại thông minh hiện nay là thiết bị lưu trữ nhiều dữ liệu cá nhân, tài chính, giao dịch và thông tin nhạy cảm. Do đó, chúng ngày càng trở thành mục tiêu tấn công của mã độc, virus và các chiến dịch lừa đảo công nghệ cao.

Bkav khuyến cáo người dùng tuyệt đối không cài đặt ứng dụng từ bên ngoài Google Play, đặc biệt là các tệp APK nhận qua tin nhắn, email hoặc mạng xã hội. Người dùng cũng không nên cấp quyền trợ năng cho bất kỳ ứng dụng nào không rõ nguồn gốc.

Với các tổ chức, doanh nghiệp, cần triển khai biện pháp giám sát truy cập, lọc DNS và thiết lập cảnh báo với các kết nối đến tên miền bất thường có liên quan tới hạ tầng điều khiển mã độc.

Trong trường hợp nghi ngờ thiết bị đã bị lây nhiễm, người dùng cần ngay lập tức ngắt kết nối internet, sao lưu dữ liệu quan trọng, thực hiện khôi phục cài đặt gốc (factory reset), thay đổi toàn bộ mật khẩu và liên hệ ngân hàng để kiểm tra an toàn tài khoản.