Phần mềm đội lốt công cụ diệt vi rút của cơ quan tình báo Nga nguy hiểm ra sao?
Dr. Web vừa phát hiện phần mềm độc hại Android mới đang giả dạng công cụ diệt vi rút của Cơ quan An ninh Liên bang Nga (FSB).
Theo báo cáo mới từ công ty an ninh mạng Dr. Web (Nga), các nhà nghiên cứu đã theo dõi phần mềm gián điệp (spyware) có tên Android.Backdoor.916.origin và không phát hiện mối liên hệ nào giữa nó với các phần mềm độc hại từng biết đến trước đây.
Với nhiều khả năng nguy hiểm, Android.Backdoor.916.origin có thể nghe lén các cuộc trò chuyện, phát trực tiếp màn hình bằng camera điện thoại, ghi lại thao tác nhập phím của người dùng, đánh cắp dữ liệu liên lạc từ các ứng dụng nhắn tin.
Kể từ khi phát hiện loại phần mềm độc hại này vào tháng 1.2025, Dr. Web đã thu thập được nhiều phiên bản kế tiếp, cho thấy nó đang được phát triển liên tục.
Dựa trên các chiêu trò phát tán, phương thức lây nhiễm và giao diện chỉ cung cấp tùy chọn ngôn ngữ tiếng Nga, Android.Backdoor.916.origin được thiết kế để thực hiện các cuộc tấn công có chủ đích nhắm vào doanh nghiệp Nga, theo các nhà nghiên cứu của Dr. Web.
Dr. Web ghi nhận Android.Backdoor.916.origin có hai biến thể chính:
- Một mang tên GuardCB, giả mạo Ngân hàng Trung ương Liên bang Nga.
- Hai là SECURITY_FSB, giả dạng phần mềm diệt vi rút của cơ quan tình báo Nga.
“Giao diện của nó chỉ cung cấp duy nhất một ngôn ngữ là tiếng Nga. Điều đó có nghĩa chương trình độc hại này hoàn toàn tập trung vào người dùng Nga”, Dr. Web báo cáo.
"Các biến thể khác được phát hiện với tên file SECURITY_FSB, FSB và những tên khác, mà tội phạm mạng đang cố gắng ngụy trang thành chương trình bảo mật được cho có liên quan đến cơ quan thực thi pháp luật của Nga", Dr. Web cho biết thêm.
Bắt chước phần mềm diệt vi rút hợp pháp,
chuyển đổi giữa 15 nhà cung cấp dịch vụ lưu trữ
Dù không có chức năng bảo mật thực sự, Android.Backdoor.916.origin vẫn tìm cách bắt chước phần mềm diệt vi rút hợp pháp nhằm ngăn nạn nhân gỡ bỏ khỏi thiết bị.
Khi người dùng bấm nút Scan, giao diện sẽ hiển thị một quá trình mô phỏng được lập trình để đưa ra kết quả dương tính giả trong 30% số lần quét, với số lượng mối đe dọa giả mạo dao động ngẫu nhiên từ 1 đến 3.
Android.Backdoor.916.origin hiển thị quá trình quét vi rút giả - Ảnh: Dr. Web
Ngay khi được cài đặt, Android.Backdoor.916.origin yêu cầu cấp nhiều quyền truy cập nguy hiểm như định vị địa lý, truy cập SMS và file đa phương tiện, ghi hình và ghi âm, dịch vụ Accessibility cũng như chạy nền liên tục.
Sau đó, phần mềm độc hại khởi chạy nhiều dịch vụ để kết nối với máy chủ điều khiển, nhận lệnh thực thi các tác vụ như:
- Đánh cắp SMS, danh bạ, lịch sử cuộc gọi, vị trí và hình ảnh lưu trữ.
- Kích hoạt micro, camera và phát trực tuyến màn hình.
- Ghi lại văn bản nhập vào và nội dung từ ứng dụng nhắn tin hoặc trình duyệt (Telegram, WhatsApp, Gmail, Google Chrome, Yandex).
- Thực thi lệnh shell, duy trì khả năng bám trụ và tự bảo vệ. Lệnh shell là những câu lệnh được nhập vào trình thông dịch lệnh (shell) của hệ điều hành, dùng để điều khiển trực tiếp máy tính hoặc thiết bị.
Quyền xóa toàn bộ dữ liệu và thay đổi màn hình khóa (trái) và cài đặt dịch vụ Accessibility (phải) - Ảnh: Dr. Web
Dịch vụ Accessibility (hỗ trợ tiếp cận) là tính năng trong hệ điều hành Android, được thiết kế để giúp người khuyết tật (khiếm thị, khiếm thính, khó thao tác) sử dụng điện thoại dễ dàng hơn. Nó có khả năng:
- Đọc nội dung hiển thị trên màn hình.
- Tự động bấm nút hoặc điều hướng thay cho người dùng.
- Theo dõi và phản hồi các sự kiện trên màn hình (ví dụ khi có cửa sổ bật lên và tin nhắn đến).
Vì dịch vụ Accessibility có quyền truy cập rất sâu vào hệ thống, hacker thường lợi dụng nó để đọc trộm nội dung trên màn hình, kể cả mật khẩu và tin nhắn; tự động cấp quyền cho ứng dụng độc hại mà người dùng không hay biết; giả mạo thao tác người dùng để cài phần mềm khác hoặc đánh cắp dữ liệu.
Dr. Web phát hiện Android.Backdoor.916.origin có khả năng chuyển đổi giữa tối đa 15 nhà cung cấp dịch vụ lưu trữ. Nói cách khác, phần mềm độc hại này có thể luân phiên sử dụng đến 15 máy chủ, được đặt ở nhiều nhà cung cấp dịch vụ lưu trữ khác nhau. Điều này cho thấy Android.Backdoor.916.origin được thiết kế để tăng độ bền vững trước các biện pháp ngăn chặn.
Thông tin chi tiết về Dr. Web
Được thành lập tại Nga năm 1992, Dr. Web là một trong những công ty đầu tiên cung cấp phần mềm diệt vi rút ở nước này, dành cho cả người dùng cá nhân và doanh nghiệp, hỗ trợ nhiều hệ điều hành khác nhau như Windows, macOS, Linux, Android.
Ngoài ra, Dr. Web còn mang đến các giải pháp bảo mật khác như:
- Chống thư rác: Bảo vệ người dùng khỏi các email rác và lừa đảo.
- Chống phần mềm độc hại: Chuyên phát hiện và loại bỏ các loại phần mềm độc hại phức tạp, gồm cả trojan, spyware và ransomware (mã độc tống tiền).
Dr. Web nổi tiếng với các công nghệ tiên tiến, đặc biệt là khả năng phát hiện và xử lý vi rút đa hình - loại có khả năng thay đổi mã để tránh bị phát hiện.
Công ty có đội ngũ nghiên cứu an ninh mạng mạnh mẽ, thường xuyên công bố các báo cáo và phân tích về các mối đe dọa mới. Điêm đáng chú ý là Dr. Web từng phát hiện ra một số mạng botnet lớn nhất thế giới, gồm cả botnet trojan Flashback lây nhiễm hơn 600.000 máy Mac.
Công ty này đóng vai trò như tổ chức hàng đầu trong việc theo dõi và chống lại các mối đe dọa mạng, đặc biệt là tại Nga.
