Vectơ lây nhiễm chính của Zanubis là mạo danh các ứng dụng Android hợp pháp của Peru, sau đó đánh lừa người dùng bật quyền truy cập. Khi các quyền này được cấp, phần mềm độc hại sẽ có được khả năng mở rộng, cho phép tin tặc đánh cắp dữ liệu ngân hàng và thông tin đăng nhập của người dùng, cũng như thực hiện các hành động từ xa và kiểm soát thiết bị mà người dùng không biết.

NĂM 2022: SỰ KHỞI ĐẦU CỦA MỐI ĐE DỌA NGUY HIỂM

Zanubis lần đầu tiên được phát hiện vào khoảng tháng 8/2022, ban đầu nhắm vào các tổ chức tài chính và người dùng sàn giao dịch tiền điện tử ở Peru. Vào thời điểm phát hiện ra, phần mềm độc hại này được phân phối thông qua các ứng dụng được ngụy trang thành trình đọc PDF, sử dụng logo của một ứng dụng phổ biến để hợp pháp hóa và dụ dỗ nạn nhân cài đặt ứng dụng đó.

Trong giai đoạn đầu, Zanubis sử dụng một cách tiếp cận đơn giản hơn nhiều và hạn chế hơn so với chức năng mà chúng ta sẽ khám phá sau. Phần mềm độc hại đã lấy cấu hình và tên gói của tất cả các ứng dụng mục tiêu, bằng cách tiếp cận một trang web pastebin được mã hóa cứng và phân tích dữ liệu của nó theo định dạng XML/HTML.

Khi khởi động, phần mềm độc hại sẽ thu thập thông tin chính từ thiết bị bị nhiễm. Bao gồm danh sách liên lạc, danh sách các ứng dụng đã cài đặt và nhiều mã định danh thiết bị khác nhau, chẳng hạn như nhà sản xuất, kiểu máy và dấu vân tay. Trojan cũng thực hiện các kiểm tra cụ thể để xác định xem thiết bị có phải là Motorola, Samsung hay Huawei không, gợi ý hành vi được điều chỉnh hoặc nhắm mục tiêu dựa trên thương hiệu.

Ngoài ra, Zanubis đã cố gắng thu thập và bỏ qua các thiết lập tối ưu hóa pin, có khả năng là để đảm bảo nó có thể tiếp tục chạy ở chế độ nền mà không bị gián đoạn. Tất cả thông tin thu thập sau đó được định dạng và truyền đến một máy chủ từ xa bằng giao thức WebSocket. Đối với điều này, Zanubis đã sử dụng một URL ban đầu được mã hóa cứng để thiết lập giao tiếp, trích xuất dữ liệu đã thu thập được và cũng nhận được một tập lệnh nhỏ từ máy chủ điều khiển và ra lệnh (C2).

Phần mềm độc hại hoạt động như một Trojan ngân hàng dựa trên lớp phủ đã lạm dụng dịch vụ trợ năng của Android. Thông qua dịch vụ này, Zanubis có thể chạy âm thầm trong nền, theo dõi những ứng dụng nào hiện đang hoạt động trên thiết bị. Khi phát hiện ra một ứng dụng mục tiêu đã được mở, nó ngay lập tức hiển thị một lớp phủ tạo sẵn được thiết kế để bắt chước giao diện hợp pháp. Lớp phủ này đã ghi lại thông tin đăng nhập của người dùng khi họ nhập thông tin, đánh cắp thông tin nhạy cảm mà không gây nghi ngờ bởi nạn nhân.

Zanubis nhắm mục tiêu vào 40 ứng dụng ngân hàng và tài chính tại Peru. Phần mềm độc hại duy trì danh sách tên gói được xác định trước tương ứng với các tổ chức này và sử dụng danh sách này để kích hoạt các cuộc tấn công lớp phủ. Chiến lược nhắm mục tiêu này phản ánh một chiến dịch tập trung nhằm xâm phạm người dùng dịch vụ tài chính thông qua hành vi đánh cắp thông tin xác thực.

Vào thời điểm đó, phần mềm độc hại dường như đang trong quá trình phát triển tích cực: Mã hóa chưa được triển khai, khiến các mẫu có thể phân tích được hoàn toàn khi dịch ngược.

NĂM 2023: NÂNG CẤP NHIỀU TÍNH NĂNG

Vào tháng 4/2023, Kaspersky đã xác định được một chiến dịch mới có phiên bản cải tiến của Zanubis. Lần này, gói độc hại đã ngụy trang thành ứng dụng Android chính thức của SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria), cơ quan thuế và hải quan quốc gia của Peru. Phần mềm độc hại sao chép cả tên và biểu tượng của ứng dụng hợp pháp, khiến nó có vẻ xác thực đối với người dùng không nghi ngờ.

Kỹ thuật obfuscation

Không giống như các phiên bản trước, biến thể này đã có những thay đổi đáng kể về mặt ngụy trang. Code đã được che giấu hoàn toàn, khiến việc phân tích và phát hiện thủ công trở nên khó khăn hơn. Các tác nhân đe dọa đã sử dụng Obfuscapk, một framework che giấu được sử dụng rộng rãi cho APK Android. Obfuscapk kết hợp nhiều kỹ thuật, bao gồm cả obfuscation.

Các kỹ thuật này có độ phức tạp khác nhau: Từ các biện pháp cơ bản như đổi tên lớp, thêm junk code và thay thế chữ ký, đến các chiến lược nâng cao hơn như mã hóa RC4 và obfuscation control-flow. Mục tiêu là ngăn cản kỹ thuật dịch ngược và làm chậm cả phân tích tĩnh và động, giúp các nhà điều hành có nhiều thời gian hơn để thực hiện các chiến dịch của họ mà không bị phát hiện.

Hình 1. Junk code (bên trái) và kỹ thuật obfuscation (bên phải) được áp dụng cho phần mềm cấy ghép độc hại

Sau khi cài đặt và thực thi, phần mềm độc hại bắt đầu thiết lập các thành phần bên trong của nó, bao gồm nhiều lớp, chức năng và đối tượng SharedPreferences, là những thành phần thiết yếu cho hoạt động của Trojan. Đối tượng sau thường lưu trữ dữ liệu cấu hình nhạy cảm như URL máy chủ C2, khóa mã hóa, điểm cuối API và cổng giao tiếp.

Hoạt động lừa đảo

Trong tất cả các phiên bản của Zanubis, một bước quan trọng trong luồng thực thi của nó là đảm bảo phần mềm độc hại có quyền dịch vụ trợ năng, điều này rất quan trọng đối với các cuộc tấn công lớp phủ và giám sát nền. Để có được những quyền này, phần mềm độc hại kiểm tra xem nó có đang chạy lần đầu tiên không và liệu các quyền cần thiết đã được cấp hay chưa. Nếu không, nó sử dụng một chiến thuật lừa đảo để thao túng người dùng kích hoạt chúng, một tính năng khác nhau giữa các phiên bản.

Trong phiên bản trong năm 2023, Zanubis đã hiển thị một trang web hướng dẫn giả mạo sử dụng WebView, tuyên bố rằng cần có thêm quyền để xem tài liệu - một lý do hợp lý, vì ứng dụng này ngụy trang thành một ứng dụng chính thức. Trên trang này, một nút nổi bật có nhãn “Ir a Accesibilidad” đã được hiển thị. Sau khi click vào, nút này sẽ chuyển hướng đến màn hình Accessibility Settings của hệ thống, hoặc trực tiếp đến bảng điều khiển cụ thể để bật các tính năng trợ năng cho ứng dụng độc hại, tùy thuộc vào kiểu máy.

Hình 2. Hướng dẫn đánh lừa người dùng bật quyền dịch vụ trợ năng

Chiến thuật này chủ yếu dựa vào kỹ nghệ xã hội, tận dụng sự tin tưởng vào giao diện của ứng dụng cùng sự thiếu hiểu biết của người dùng về hệ thống cấp phép của Android. Sau khi cấp quyền truy cập, phần mềm độc hại âm thầm kích hoạt các cài đặt bổ sung để bỏ qua tối ưu hóa pin, đảm bảo nó có thể hoạt động ở chế độ nền vô thời hạn, sẵn sàng thực hiện các chức năng độc hại mà không cần sự can thiệp của người dùng.

Với quyền truy cập nền được bảo mật, Zanubis tải một trang web SUNAT hợp pháp được người dùng thực sử dụng để kiểm tra về thông tin thuế. Bằng cách nhúng trang đáng tin cậy này vào WebView, ứng dụng củng cố lớp ngụy trang của nó và tránh gây nghi ngờ, xuất hiện như một phần chức năng bình thường của các dịch vụ chính thức của SUNAT, trong khi vẫn tiếp tục hoạt động độc hại của nó ở chế độ nền.

Thu thập dữ liệu

Giống như các phiên bản trước, phần mềm độc hại bắt đầu bằng cách thu thập thông tin thiết bị và kết nối với máy chủ C2 để chờ hướng dẫn tiếp theo. Giao tiếp với API C2 được mã hóa bằng RC4 sử dụng khóa được mã hóa cứng và mã hóa theo Base64.

Khi phát hiện một ứng dụng mục tiêu đang chạy trên thiết bị, phiên bản Zanubis này sẽ thực hiện một trong hai hành động để đánh cắp dữ liệu người dùng, tùy thuộc vào cài đặt hiện tại của ứng dụng. Phương pháp đầu tiên liên quan đến việc ghi lại thao tác bàn phím bằng cách theo dõi các sự kiện giao diện người dùng như click, thay đổi tiêu điểm và nhập văn bản, về cơ bản là ghi lại thông tin nhạy cảm như thông tin xác thực hoặc dữ liệu cá nhân. Các nhật ký này được lưu trữ cục bộ và sau đó được gửi đến máy chủ C2 theo yêu cầu. Ngoài ra, Zanubis có thể kích hoạt ghi màn hình để thu thập lại mọi thứ người dùng đã thực hiện trong ứng dụng, gửi cả dữ liệu hình ảnh và tương tác trực tiếp đến máy chủ.

SMS hijacking

Một tính năng mới khác trong chiến dịch này là SMS hijacking, một kỹ thuật quan trọng để xâm phạm các tài khoản ngân hàng và các dịch vụ dựa vào SMS để xác thực hai yếu tố. Sau khi được máy chủ C2 hướng dẫn, Zanubis tự đặt mình làm ứng dụng SMS mặc định trên thiết bị, cho phép nó chặn tất cả các tin nhắn đến thông qua một bộ thu tùy chỉnh. Điều này cho phép phần mềm độc hại truy cập vào các mã xác minh do các ngân hàng và các dịch vụ nhạy cảm khác gửi, thậm chí có khả năng xóa chúng trước khi người dùng có thể nhìn thấy chúng, về cơ bản là ẩn hoạt động của nó.

Những hành động này vẫn hoàn toàn ẩn khỏi người dùng. Ngay cả khi người dùng cố gắng lấy lại quyền kiểm soát và đặt lại ứng dụng SMS mặc định của họ về bình thường, Zanubis vẫn ngăn chặn khả năng đó.

Bản cập nhật giả mạo

Một trong những hành vi xâm phạm và lừa đảo mà Zanubis thực hiện là bloqueoUpdate (“update lockout” trong tiếng Anh), mô phỏng bản cập nhật hệ thống Android hợp pháp. Khi được kích hoạt, phần mềm độc hại khóa thiết bị và ngăn chặn mọi tương tác bình thường, khiến thiết bị gần như không sử dụng được. Các nỗ lực khóa hoặc mở khóa màn hình đã bị phát hiện và khóa, khiến người dùng gần như không thể ngắt quá trình này.

Trước khi hiển thị lớp phủ cập nhật giả, Zanubis có thể gửi thông báo cảnh báo rằng bản cập nhật sắp được cài đặt, khuyến nghị người dùng không nên tương tác với thiết bị. Điều này làm tăng độ tin cậy của trò lừa đảo này và giảm khả năng can thiệp của người dùng.

Phía sau bản cập nhật giả mạo, Zanubis vẫn tiếp tục hoạt động âm thầm ở chế độ nền, thực hiện các tác vụ độc hại như gỡ cài đặt ứng dụng, chặn tin nhắn SMS, thay đổi cài đặt hệ thống và sửa đổi quyền mà nạn nhân không hề hay biết.

Hình 3. Bản cập nhật giả mạo chặn người dùng sử dụng điện thoại

NĂM 2024: PHÁT TRIỂN PHIÊN BẢN MỚI

Trong năm 2024, Kaspersky tiếp tục theo dõi Zanubis trên nhiều nguồn khác nhau, bao gồm cả các nền tảng của bên thứ ba. Các nhà nghiên cứu phát hiện ra sự xuất hiện của các biến thể mới trong thực tế, đặc biệt là trên VirusTotal. Hơn 30 phiên bản phần mềm độc hại đã được tải lên từ Peru, cho thấy nỗ lực của nhà phát triển trong việc thử nghiệm và triển khai các tính năng mới vào phần mềm độc hại.

Hình 4. Các mẫu độc hại được tải lên VirusTotal

Mã hóa được tăng cường

Trong các phiên bản mới hơn của Zanubis, các nhà phát triển đã triển khai các cơ chế để bảo vệ các chuỗi được mã hóa cứng, nhằm mục đích làm phức tạp quá trình phân tích và giảm tỷ lệ phát hiện. Các tác nhân đe dọa đã sử dụng một khóa được lấy từ PBKDF2 để mã hóa và giải mã các chuỗi ngay lập tức, dựa vào AES ở chế độ ECB.

Giao tiếp giữa C2 và phần mềm độc hại được bảo vệ bằng AES ở chế độ ECB, cho thấy sự thay đổi so với việc sử dụng RC4 trong các phiên bản trước đó. Không giống như khóa mã hóa cứng được sử dụng để mã hóa chuỗi, trong trường hợp này, một khóa 32 byte mới được tạo ngẫu nhiên mỗi khi dữ liệu sắp được gửi.

Đánh cắp thông tin

Trong số các hành động quan trọng nhất được thực hiện bởi phiên bản Zanubis mới này là hành vi đánh cắp thông tin đăng nhập của thiết bị. Khi hoạt động ở chế độ nền, phần mềm độc hại liên tục theo dõi các sự kiện hệ thống do các ứng dụng khác kích hoạt. Khi phát hiện hoạt động liên quan đến xác thực cần nhập mã PIN, mật khẩu, nó sẽ cố gắng xác định kiểu xác thực đang được sử dụng và ghi lại thông tin đầu vào tương ứng.

Zanubis theo dõi các tín hiệu cụ thể cho biết người dùng đang tương tác với màn hình khóa hoặc phương thức nhập liệu an toàn. Khi những điều này được xác định, phần mềm độc hại chủ động thu thập các ký tự đã nhập hoặc cử chỉ đã sử dụng. Nếu phát hiện ra rằng dữ liệu nhập không hợp lệ, nó sẽ đặt lại theo dõi xác thực để tránh lưu trữ dữ liệu không hợp lệ. Sau khi quá trình nhập liệu hoàn tất và người dùng tiếp tục, Zanubis sẽ gửi thông tin đăng nhập đã thu thập đến máy chủ C2.

Hình 5. Thông tin thiết bị được thu thập bởi Zanubis

Mở rộng phạm vi

Phiên bản phần mềm độc hại này tiếp tục nhắm mục tiêu vào các ứng dụng ngân hàng và tổ chức tài chính ở Peru, mở rộng phạm vi bao gồm các nhà cung cấp thẻ ảo cũng như ví kỹ thuật số và tiền điện tử. Bản cập nhật này đã thêm 14 ứng dụng mục tiêu mới, tăng phạm vi tấn công và mở rộng phạm vi các dịch vụ tài chính mà nó có thể khai thác.

2025: CHIẾN DỊCH MỚI NHẤT

Vào giữa tháng 01/2025, các nhà nghiên cứu đã xác định các mẫu mới cho thấy phiên bản cập nhật của Zanubis. Các bản cập nhật bao gồm từ những thay đổi trong chiến lược phân phối và lừa đảo phần mềm độc hại đến sửa đổi code, lệnh C2 mới và cải thiện khả năng lọc các ứng dụng mục tiêu để đánh cắp thông tin xác thực.

Chiến thuật phân phối mới

Zanubis trước đây đã mạo danh cơ quan thuế của Peru là SUNAT. Tuy nhiên, trong chiến dịch mới này, Kaspersky đã xác định được hai thực thể Peru mới đang bị giả mạo, một công ty trong lĩnh vực năng lượng và một ngân hàng chưa từng bị lạm dụng.

Trojan ban đầu ngụy trang thành hai ứng dụng hợp pháp từ các công ty mục tiêu, mỗi ứng dụng được tạo ra để khai thác một nhu cầu cụ thể của người dùng. Đối với công ty năng lượng, APK độc hại được phân phối dưới những cái tên như “Boleta_XXXXXX” (“bill”) hoặc “Factura_XXXXXX” (“invoice”), đánh lừa người dùng tin rằng họ đang xác minh một hóa đơn giả định.

Hình 6. Màn hình giả mạo được thiết kế để xác minh hóa đơn

Trong khi đó, đối với ngân hàng, nạn nhân bị dụ tải xuống phần mềm độc hại dưới dạng hướng dẫn từ một cố vấn ngân hàng giả mạo. Thiết lập này hoạt động như dropper ban đầu cho phần mềm độc hại, sử dụng các ngữ cảnh quen thuộc, đáng tin cậy để đảm bảo cài đặt thành công.

Cài đặt chế độ im lặng

Sau khi người dùng tải xuống và khởi chạy ứng dụng, một màn hình sẽ xuất hiện với logo của công ty, nêu rằng các kiểm tra cần thiết đang được tiến hành. Trong khi đó, ở chế độ nền, dropper cố gắng âm thầm cài đặt payload cuối cùng, Zanubis được nhúng trong các tài nguyên nội bộ ban đầu của phần mềm độc hại (res/raw/). Để truy xuất APK, dropper tận dụng lớp PackageInstaller. Quá trình cài đặt này diễn ra mà không cần bất kỳ sự tham gia nào của người dùng, vì không có lời nhắc hoặc cảnh báo nào để cảnh báo nạn nhân.

Bằng cách sử dụng PackageInstaller, phần mềm độc hại ghi APK vào thiết bị ở chế độ nền và hoàn tất quá trình cài đặt tự động. Kỹ thuật này được sử dụng để tránh bị phát hiện. Sau khi cài đặt, một thông báo được gửi để báo hiệu rằng gói đã được cài đặt thành công.

Trong phiên bản mới của Zanubis, phạm vi các thực thể mục tiêu đã được thu hẹp đáng kể, tập trung rõ ràng vào các ngân hàng và tổ chức tài chính. Phạm vi mục tiêu rộng trước đây, bao gồm cả ví tiền điện tử, đã bị bỏ qua. Sự thay đổi chiến lược này cho thấy ý định hợp lý hóa các nỗ lực tấn công và tập trung vào các lĩnh vực quản lý dữ liệu nhạy cảm và có giá trị nhất, chẳng hạn như thông tin ngân hàng và giao dịch tài chính. Bằng cách tập trung vào các mục tiêu có rủi ro cao này, phần mềm độc hại trở nên nguy hiểm hơn nữa, vì hiện tại nó tập trung vào các con đường sinh lợi nhất cho tội phạm mạng.

TÁC NHÂN ĐỨNG SAU

Dựa trên phân tích liên tục của Kaspersky về Zanubis, một số chỉ số cho thấy rằng những kẻ đe dọa phía sau phần mềm độc hại có thể đang hoạt động từ Peru. Các chỉ số này bao gồm việc sử dụng tiếng Tây Ban Nha, Mỹ Latinh trong code, hiểu biết về các cơ quan chính phủ và ngân hàng Peru và thông tin của VirusTotal.

KẾT LUẬN

Zanubis đã chứng minh sự cải tiến rõ ràng, chuyển đổi từ một Trojan ngân hàng đơn giản thành một mối đe dọa cực kỳ tinh vi và đa diện. Phần mềm độc hại này đã liên tục được tinh chỉnh và phát triển, kết hợp các tính năng mới. Trọng tâm của nó vẫn là các mục tiêu có giá trị cao, đặc biệt là các ngân hàng và tổ chức tài chính ở Peru.

Hơn nữa, những kẻ tấn công phía sau Zanubis không có dấu hiệu dừng lại. Chúng tiếp tục đổi mới và điều chỉnh chiến thuật của mình, thay đổi phương pháp phân phối để đảm bảo phần mềm độc hại tiếp cận được những nạn nhân mới và thực hiện một cách âm thầm. Sự tinh chỉnh liên tục này chứng minh rằng Zanubis không phải là mối đe dọa tạm thời mà là mối đe dọa liên tục, dai dẳng.

Khi Zanubis tiếp tục phát triển, điều quan trọng là người dùng và các tổ chức phải luôn cảnh giác. Bối cảnh mối đe dọa liên tục thay đổi và khả năng phát triển, nhắm mục tiêu vào các nạn nhân mới của phần mềm độc hại này khiến nó trở thành một rủi ro luôn hiện hữu không thể bỏ qua.