Nhiều thiết bị Android giả mạo bị gài mã độc Triada trước khi đến tay người dùng

[WhiteHat Team]

Kaspersky Labs vừa cảnh báo về sự tiến hóa đáng lo ngại của Trojan Triada - loại mã độc Android khét tiếng đang tìm cách vượt qua các cơ chế bảo vệ hiện đại của hệ điều hành di động.

Các chuyên gia an ninh mạng phát hiện rằng phiên bản mới của Triada đã được cài sẵn trong firmware của các thiết bị Android giả mạo, khiến việc loại bỏ mã độc gần như bất khả thi nếu không thực hiện cài đặt lại toàn bộ hệ thống.

Kaspersky phát hiện các phiên bản Triada mới đã được cài sẵn vào firmware của thiết bị ngay từ trước khi sản phẩm được bán ra thị trường. Những thiết bị nhiễm mã độc này là hàng nhái của các thương hiệu điện thoại nổi tiếng và vẫn đang được rao bán trên nhiều chợ trực tuyến tại thời điểm nghiên cứu.

Kỹ thuật tấn công mới​

Trước đây, Triada thường lợi dụng các lỗ hổng bảo mật để chiếm quyền điều khiển trên những phiên bản Android cũ. Tuy nhiên, khi các nhà sản xuất tăng cường bảo vệ hệ điều hành, Triada đã thay đổi cách tấn công:

• Chèn mã độc trực tiếp vào phần hệ thống của thiết bị, khiến việc gỡ bỏ trở nên rất khó khăn.
• Xâm nhập vào quy trình Zygote, tiến trình quan trọng chịu trách nhiệm khởi động mọi ứng dụng Android, từ đó kiểm soát toàn bộ hệ thống.

Nhờ cách tấn công mới, Triada có thể kiểm soát mọi ứng dụng trên thiết bị. Mỗi khi người dùng mở một ứng dụng, mã độc sẽ tự động được kích hoạt. Theo Kaspersky, Triada đã tích hợp một trình tải nhiều lớp phức tạp ngay trong firmware, cho phép tin tặc chiếm quyền điều khiển toàn bộ hệ thống.

Triada được thiết kế theo dạng modular (mô-đun), cho phép nó linh hoạt thay đổi cách tấn công tùy theo ứng dụng mà người dùng đang sử dụng. Cụ thể:

• Đánh cắp tiền điện tử: Triada thay đổi địa chỉ ví khi người dùng sao chép, nhằm đánh cắp tiền trong quá trình giao dịch.
• Chiếm đoạt tài khoản: Triada đánh cắp thông tin đăng nhập và phiên đăng nhập của các ứng dụng như Telegram, Instagram, WhatsApp, Facebook,...
• Tấn công trình duyệt: Triada thay thế các đường link người dùng bấm trong Chrome, Firefox bằng liên kết giả mạo để thực hiện lừa đảo (phishing).
• Chặn SMS và cuộc gọi: Triada đánh cắp mã xác thực hoặc tự động đăng ký các dịch vụ trái phép.
• Chiếm quyền thiết bị: Triada biến điện thoại thành máy chủ trung gian (proxy), giúp tin tặc che giấu hoạt động mạng của mình.

Cách hoạt động chi tiết của Triada​

• Triada chèn một thư viện hệ thống độc hại có tên binder.so vào trong thiết bị.
• Sau đó, nó tự động tải thêm các module mã độc dựa trên ứng dụng mà người dùng đang mở:
  • Ứng dụng tiền điện tử như Binance, KuCoin bị cấy mã độc để đánh cắp ví tiền.
  • Ứng dụng nhắn tin như Telegram, WhatsApp bị chiếm quyền kiểm soát cuộc trò chuyện.
  • Trình duyệt web bị chèn mã để thay đổi các liên kết truy cập.

Đặc biệt, Triada liên tục kết nối với máy chủ điều khiển (C2 server) bằng các phương thức mã hóa mạnh như AES-128 và RSA, nhằm tải về các module độc hại mới và nhận lệnh tấn công.

Phạm vi ảnh hưởng toàn cầu​

Theo thống kê từ Kaspersky, hơn 4.500 thiết bị trên toàn thế giới đã bị nhiễm mã độc Triada. Các quốc gia chịu ảnh hưởng nặng nề nhất bao gồm Nga, Anh, Đức, Hà Lan và Brazil. Cho đến thời điểm hiện tại, hacker đã chiếm đoạt hơn 264.000 USD thông qua các hoạt động lừa đảo liên quan đến tiền điện tử. Đáng lo ngại, phần lớn các thiết bị nhiễm mã độc là điện thoại giả, được bán phổ biến trên các nền tảng thương mại điện tử, khiến nhiều người dùng vô tình mua phải thiết bị đã bị “gài bẫy” ngay từ trước khi sử dụng.

Khuyến cáo​

Nếu nghi ngờ thiết bị đã bị nhiễm mã độc Triada, người dùng nên nhanh chóng cài đặt lại firmware từ nguồn chính hãng và uy tín. Trước khi thiết bị được làm sạch hoàn toàn, hãy hạn chế sử dụng các ứng dụng nhắn tin, ví tiền điện tử hoặc mạng xã hội để tránh rò rỉ thông tin cá nhân. Bên cạnh đó, việc cài đặt phần mềm bảo mật di động uy tín cũng rất cần thiết để hỗ trợ phát hiện và ngăn chặn các mối đe dọa tiềm ẩn từ mã độc.

Theo Security Online​