Phần mềm độc hại mới nhắm vào người dùng Android nhằm đánh cắp thông tin và ví tiền điện tử

Tổng quan

Trong thời gian gần đây một phần mềm độc hại mới có tên là ​Crocodilus được phát hiện, nhắm mục tiêu vào người dùng Android để đánh cắp thông tin đăng nhập và khóa ví tiền điện tử. Phần mềm này sử dụng các kỹ thuật tiên tiến như điều khiển thiết bị từ xa, lớp phủ màn hình đen (Black Screen Overlay) và thu thập dữ liệu thông qua dịch vụ Trợ năng (Accessibility Service) của Android. ​Các chiến dịch ban đầu cho thấy các mục tiêu chủ yếu ở Tây Ban Nha và Thổ Nhĩ Kỳ, cùng với một số ví tiền điện tử.

Một trong những chiến thuật lừa đảo của Crocodilus là hiển thị một thông báo giả mạo yêu cầu người dùng sao lưu khóa ví trong vòng 12 giờ để tránh mất quyền truy cập. Khi người dùng làm theo hướng dẫn và hiển thị cụm từ khôi phục (seed phrase), phần mềm độc hại sẽ ghi lại thông tin này và gửi về máy chủ của kẻ tấn công, cho phép chúng kiểm soát hoàn toàn ví tiền điện tử của nạn nhân.

Phạm vi ảnh hưởng

​Phần mềm độc hại Crocodilus nhắm mục tiêu vào các thiết bị chạy hệ điều hành Android, bao gồm cả phiên bản Android 13 và các phiên bản mới hơn.

Chi tiết chiến dịch

Mặc dù phần mềm độc hại này là mới, nhưng nó đã bao gồm tất cả các tính năng cần thiết của phần mềm độc hại ngân hàng hiện đại: các cuộc tấn công lớp phủ, keylogging, truy cập từ xa và khả năng điều khiển từ xa.

Việc cài đặt ban đầu được thực hiện thông qua một người bỏ qua các hạn chế Android 13+ độc quyền. Sau khi được cài đặt, Crocodilus yêu cầu quyền truy cập vào Dịch vụ Trợ năng. Khi được cấp, phần mềm độc hại này có thể:​

• Giám sát hoạt động của người dùng​
• Thu thập dữ liệu nhạy cảm​
• Thực hiện các thao tác mà không cần sự đồng ý của người dùng

Sau khi đã được cấp, phần mềm độc hại kết nối với máy chủ lệnh và kiểm soát (C2) để nhận hướng dẫn, bao gồm danh sách các ứng dụng sẽ được sử dụng. Và nó chạy liên tục, giám sát ứng dụng khởi chạy và hiển thị các lớp phủ để chặn thông tin đăng nhập.

Sau khi đã vào được hệ thống Crocodilus sẽ tấn công lớp phủ (Overlay Attack)

• Crocodilus tạo ra các lớp phủ giả mạo trên các ứng dụng hợp pháp, như ứng dụng ví tiền điện tử. Khi người dùng nhập thông tin đăng nhập, phần mềm độc hại sẽ thu thập và gửi dữ liệu này đến máy chủ của kẻ tấn công.

• Sau khi đánh cắp mã PIN của ví thông qua lớp phủ, Crocodilus hiển thị một cảnh báo giả mạo yêu cầu người dùng sao lưu cụm từ khôi phục (seed phrase) trong vòng 12 giờ để tránh mất quyền truy cập. Khi người dùng làm theo hướng dẫn và hiển thị cụm từ khôi phục, phần mềm độc hại sẽ ghi lại thông tin này bằng công cụ giám sát màn hình và gửi về cho kẻ tấn công.

Bên cạnh đó Crocodilus có khả năng kiểm soát thiết bị từ xa, cho phép kẻ tấn công thực hiện các thao tác như:​

• Thực hiện giao dịch trái phép​
• Truy cập và đánh cắp dữ liệu nhạy cảm khác​
• Ẩn hoạt động bằng cách hiển thị màn hình đen và tắt âm thanh thiết bị

Theo như các nhà phân tích thành phần bot của phần mềm độc hại hỗ trợ tập hợp 23 lệnh mà nó có thể thực thi trên thiết bị, bao gồm:

• Bật chuyển tiếp cuộc gọi
• Khởi chạy một ứng dụng cụ thể
• Đăng thông báo đẩy
• Gửi SMS đến tất cả các liên hệ hoặc một số được chỉ định
• Nhận tin nhắn SMS
• Yêu cầu các đặc quyền quản trị viên thiết bị
• Bật lớp phủ màu đen
• Bật/tắt âm thanh
• Màn hình khóa
• Tự biến SMS mặc định

Trong Crocodilus những kẻ tấn công đã sử dụng các đoạn mã độc liên quan tới Accessibility Services trên Android với nhiều mục đích độc hại khác nhau:

• Tương tác với các quyền trên Android

• Kiểm soát thiết bị từ xa
• Lạm dụng quyền truy cập hệ thống
• Nhắm vào trình duyệt Chrome
• Mã hóa dữ liệu hoặc tải mã độc từ bên ngoài

• Chặn hoặc vô hiệu hóa các cảnh báo

Khuyến nghị

Chỉ tải ứng dụng từ nguồn đáng tin cậy

• Không cài đặt APK từ bên ngoài hoặc từ nguồn không rõ ràng.

• Kiểm tra đánh giá và số lượt tải xuống trước khi cài đặt ứng dụng từ Google Play Store.

Kiểm tra quyền của ứng dụng

• Nếu một ứng dụng yêu cầu Accessibility Services, Quản trị viên thiết bị, hoặc Quyền SMS mà không rõ lý do → KHÔNG CẤP QUYỀN!

• Bạn có thể kiểm tra quyền truy cập bằng cách vào:
  Cài đặt > Ứng dụng > [Tên ứng dụng] > Quyền

Bật Google Play Protect

• Google Play Protect giúp quét các ứng dụng độc hại trên thiết bị.
• Bật bằng cách vào Cửa hàng Google Play > Hồ sơ > Play Protect > Bật quét ứng dụng.

Sử dụng phần mềm bảo mật

• Cài đặt một trong các phần mềm bảo mật như Malwarebytes, Bitdefender, Kaspersky hoặc Norton để bảo vệ thiết bị.

Luôn cập nhật Android và ứng dụng

• Cập nhật hệ điều hành và ứng dụng để nhận các bản vá bảo mật mới nhất.

Kết luận

Crocodilus là một phần mềm độc hại nguy hiểm có khả năng đánh cắp dữ liệu tài chính và kiểm soát thiết bị từ xa. Người dùng Android cần thận trọng khi cài đặt ứng dụng, bật các tính năng bảo mật và kiểm tra thiết bị thường xuyên để tránh bị tấn công. Nếu phát hiện dấu hiệu nhiễm mã độc, hãy xử lý ngay để bảo vệ tài khoản và dữ liệu cá nhân của mình.

IOC

Hash:

• c5e3edafdfda1ca0f0554802bbe32a8b09e8cc48161ed275b8fec6d74208171f

C2:

• register-buzzy[.]store

Tham khảo

1. Exposing Crocodilus: New Device Takeover Malware Targeting Android Devices

2. New Crocodilus malware steals Android users’ crypto wallet keys