Được gọi là DroidBot và hoạt động từ giữa năm 2024, phần mềm độc hại này đã được sử dụng trong nhiều chiến dịch tấn công mạng ở châu Âu, chủ yếu nhắm vào người dùng ở Pháp, Ý, Tây Ban Nha và Thổ Nhĩ Kỳ. Bên cạnh đó, Cleafy cũng đã tìm thấy bằng chứng cho thấy DroidBot có thể mở rộng sang khu vực Mỹ Latinh.

Theo các nhà nghiên cứu, DroidBot là một nền tảng phần mềm độc hại dưới dạng dịch vụ (MaaS), rao bán công cụ này với giá 3.000 USD/tháng. Hiện đã có ít nhất 17 nhóm tin tặc được xác định sử dụng DroidBot trong các chiên dịch tấn công mạng nhắm mục tiêu của chúng.

Mặc dù, DroidBot không có bất kỳ tính năng mới nổi bật hoặc phức tạp nào, nhưng khi phân tích một trong các mạng botnet của nó, các nhà nghiên cứu phát hiện ra 776 trường hợp lây nhiễm mã độc trên khắp Vương quốc Anh, Ý, Pháp, Thổ Nhĩ Kỳ và Đức, cho thấy hoạt động này tác động đáng kể.

Cleafy nhận định nhà phát triển của DroidBot có thể là người Thổ Nhĩ Kỳ, cung cấp cho các nhóm tin tặc tất cả các công cụ cần thiết để thực hiện các cuộc tấn công. Điều này bao gồm bản thiết kế (build) phần mềm độc hại, máy chủ điều khiển và ra lệnh (C2) và bảng điều khiển quản trị mà kẻ tấn công có thể kiểm soát hoạt động của mình, truy xuất dữ liệu bị đánh cắp và đưa ra lệnh thao tác.

Nhiều nhóm tin tặc hoạt động trên cùng một cơ sở hạ tầng C2, với mã định danh duy nhất được gán cho mỗi nhóm, điều này cho phép Cleafy xác định được 17 nhóm đe dọa khác nhau.

Bản build payload cho phép các tin tặc tùy chỉnh DroidBot để nhắm mục tiêu vào các ứng dụng cụ thể, sử dụng các ngôn ngữ khác nhau và thiết lập các địa chỉ máy chủ C2.

Các nhóm tin tặc cũng được cung cấp quyền truy cập vào tài liệu chi tiết, hỗ trợ từ những người tạo ra phần mềm độc hại và quyền truy cập vào kênh Telegram, nơi các bản cập nhật được đăng tải thường xuyên. Nhìn chung, hoạt động MaaS của DroidBot tạo ra rào cản gia nhập khá thấp đối với tội phạm mạng thiếu kinh nghiệm hoặc kỹ năng thấp.

Các nhóm tin tặc sử dụng DroidBot được cấp quyền truy cập vào bảng điều khiển web để quản lý mạng botnet của các thiết bị bị lây nhiễm và thu thập thông tin đăng nhập, tương tác với bot để chuyển hướng cuộc gọi điện thoại, gửi thông báo đẩy giả mạo, đánh cắp dữ liệu và truy cập từ xa vào thiết bị để thực hiện nhiều hành động khác nhau.

DroidBot thường ngụy trang thành Google Chrome, cửa hàng ứng dụng Google Play hoặc Android Security để đánh lừa người dùng cài đặt ứng dụng độc hại. Tuy nhiên, trong mọi trường hợp, phần mềm độc hại này hoạt động như một trojan cố gắng đánh cắp thông tin nhạy cảm từ các ứng dụng.

Các tính năng chính của DroidBot bao gồm:

- Keylogging: Ghi lại thao tác bàn phím của nạn nhân.

- Overlaying: Hiển thị các trang đăng nhập giả mạo trên giao diện ứng dụng ngân hàng hợp pháp.

- Chặn tin nhắn SMS: Đánh cắp tin nhắn SMS đến, đặc biệt là những tin nhắn có chứa mật khẩu dùng một lần (OTP) để đăng nhập vào dịch vụ ngân hàng.

- Virtual Network Computing (VNC): Mô-đun VNC cung cấp cho các tin tặc khả năng xem và điều khiển từ xa thiết bị bị lây nhiễm, thực hiện lệnh và làm tối màn hình để ẩn hoạt động độc hại.

Một khía cạnh quan trọng trong hoạt động của DroidBot là việc lạm dụng dịch vụ trợ năng của Android để theo dõi hành động của người dùng và mô phỏng các thao tác vuốt và chạm của họ. Do đó, nếu người dùng cài đặt một ứng dụng yêu cầu cấp các quyền lạ, như dịch vụ trợ năng, bạn nên ngay lập tức từ chối yêu cầu này.

Trong số 77 ứng dụng mà DroidBot cố gắng đánh cắp thông tin đăng nhập, một số ứng dụng nổi bật bao gồm Binance, KuCoin, BBVA, Unicredit, Santander, Metamask, BNP Paribas, Credit Agricole, Kraken và Garanti BBVA.

Để giảm thiểu mối đe dọa này, người dùng Android được khuyến cáo chỉ tải xuống ứng dụng từ cửa hàng Google Play, kiểm tra kỹ các yêu cầu cấp quyền khi cài đặt và đảm bảo tính năng Google Play Protect đang hoạt động trên thiết bị của họ.

Người dùng Việt Nam cũng cần lưu ý khi sử dụng các dịch vụ chuyển tiền nước ngoài trên điện thoại, tránh truy cập vào các mã lạ nếu như không biết chính xác để giảm thiểu nguy cơ bị đánh cắp thông tin. 

TH