Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Mã độc Perseus mới trên Android kiểm tra ghi chú của người dùng để đánh cắp thông tin

13:56 | 23/03/2026
Hồng Đạt

Một loại phần mềm độc hại trên Android có tên Perseus có khả năng kiểm tra các ghi chú do người dùng soạn thảo để đánh cắp thông tin nhạy cảm, chẳng hạn như mật khẩu, recovery phrases hoặc dữ liệu tài chính.

Được phát tán thông qua các cửa hàng không chính thức và ngụy trang dưới dạng IPTV, Perseus cho phép chiếm quyền kiểm soát hoàn toàn thiết bị, chụp ảnh màn hình và thực hiện các cuộc tấn công overlay.

Bằng cách giả mạo các ứng dụng IPTV, thường được sử dụng để phát trực tuyến nội dung lậu (không bản quyền), kẻ tấn công dựa vào sự quen thuộc của người dùng với việc cài đặt APK từ bên ngoài cửa hàng Google Play và bỏ qua các cảnh báo bảo mật.

Xu hướng này đã nổi lên trong tám tháng qua, khi người dùng tìm kiếm các cách thức miễn phí hoặc chi phí thấp để truy cập các chương trình phát sóng thể thao trực tiếp. Trong một chiến dịch gần đây, các tác nhân đe dọa lợi dụng ứng dụng IPTV để phát tán mã độc ngân hàng Massiv trên Android.

Theo công ty bảo mật di động ThreatFabric, Perseus chủ yếu nhắm mục tiêu vào các tổ chức tài chính ở Thổ Nhĩ Kỳ và Ý, cũng như các dịch vụ tiền điện tử. Các nhà nghiên cứu phát hiện một trong những ứng dụng phát tán mã độc Perseus có tên là Roja Directa TV - dịch vụ phát trực tuyến thể thao phổ biến từng là mục tiêu của các vụ vi phạm bản quyền.

Một trong những ứng dụng phát tán mã độc được sử dụng

Phần mềm phát tán Perseus có thể vượt qua các hạn chế cài đặt ứng dụng từ nguồn không chính thức trên Android 13 trở lên và cũng chính là phần mềm được sử dụng để phân phối mã độc Klopatra và Medusa. Theo các nhà nghiên cứu, Perseus dường như được phát triển dựa trên nền tảng mã nguồn của Phoenix, vốn được tạo ra từ mã nguồn của Cerberus, từng bị rò rỉ cách đây gần sáu năm.

Trong một báo cáo ngày 19/3, ThreatFabric cho biết mã độc này có hai phiên bản, một phiên bản tiếng Thổ Nhĩ Kỳ và một phiên bản tinh chỉnh hơn sử dụng tiếng Anh, phiên bản này cũng có các tính năng gỡ lỗi tốt hơn và các tính năng cải thiện trải nghiệm người dùng. Đáng chú ý, phiên bản tiếng Anh bao gồm việc ghi nhật ký chi tiết và sử dụng biểu tượng cảm xúc trong mã nguồn, đây là dấu hiệu mạnh mẽ cho thấy các công cụ trí tuệ nhân tạo (AI) đã được sử dụng trong quá trình phát triển.

Việc tập trung vào Thổ Nhĩ Kỳ cũng thể hiện rõ trong danh sách các tổ chức tài chính bị nhắm mục tiêu ở nước này (17), tiếp theo là Ý (15), Ba Lan (5), Đức (3) và Pháp (2). Ngoài ra, phần mềm độc hại này cũng nhắm mục tiêu vào 9 ứng dụng tiền điện tử.

Bằng cách lợi dụng dịch vụ Trợ năng Android, Perseus cho phép kẻ tấn công điều khiển từ xa hoàn toàn các thiết bị bị nhiễm, từ đó thực hiện các hành động sau:

- Chụp ảnh màn hình liên tục và truyền phát chúng đến người điều hành (start_vnc).

- Gửi một cấu trúc phân cấp giao diện người dùng có cấu trúc để tương tác từ xa theo chương trình (start_hvnc).

- Mô phỏng các thao tác chạm, vuốt, nhập văn bản, nhấn giữ và các hành động điều hướng giao diện người dùng khác.

- Bật màn hình, khởi chạy ứng dụng và chặn ứng dụng.

- Bật lớp phủ màn hình đen để che giấu hoạt động khỏi nạn nhân.

- Khởi động các cuộc tấn công overlay và thực hiện ghi lại thao tác bàn phím.

Tính năng đặc biệt của Perseus nhắm mục tiêu vào các ứng dụng ghi chú trên Android, bao gồm Google Keep, Xiaomi Notes, Samsung Notes, ColorNote, Evernote, Microsoft OneNote và Simple Notes.

Các nhà nghiên cứu của ThreatFabric lưu ý đây là lần đầu tiên họ phát hiện phần mềm độc hại Android kiểm tra các thông tin nhạy cảm trong ghi chú cá nhân trên thiết bị. “Trong khi nhiều loại mã độc Android chủ yếu tập trung vào việc thu thập thông tin đăng nhập hoặc chặn liên lạc, tính năng này phản ánh mối quan tâm rộng hơn đến dữ liệu theo ngữ cảnh và dữ liệu được cá nhân hóa. Ghi chú thường chứa thông tin nhạy cảm như mật khẩu, recovery phrase, chi tiết tài chính, khiến chúng trở thành mục tiêu hấp dẫn đối với kẻ tấn công”, báo cáo của ThreatFabric cho biết.

Ngoài ra, phiên bản tiếng Anh của Perseus sử dụng dịch vụ Trợ năng để mở từng ứng dụng ghi chú một cách có hệ thống và quét từng ghi chú được lưu trữ trong đó.

Chức năng quét ứng dụng ghi chú

Perseus thực hiện các bước kiểm tra chống phân tích và né tránh toàn diện trước khi thực thi trên thiết bị, bao gồm kiểm tra quyền root, dấu vân tay trình giả lập, chi tiết SIM, cấu hình phần cứng, dữ liệu pin, sự hiện diện của Bluetooth, số lượng ứng dụng và tính khả dụng của Google Play, đồng thời đưa ra “điểm nghi ngờ” và gửi đến bảng điều khiển C2. Dựa trên điểm số đó, kẻ tấn công sẽ quyết định có tiếp tục hành vi đánh cắp dữ liệu hay không.

Để giảm thiểu rủi ro, người dùng Android nên tránh cài đặt APK từ các nguồn không rõ ràng và chỉ tải xuống các ứng dụng phát trực tuyến hợp pháp từ cửa hàng ứng dụng chính thức của Android là Google Play.

Ngoài ra, hãy đảm bảo Google Play Protect được kích hoạt và sử dụng nó để quét thiết bị thường xuyên nhằm phát hiện các mối đe dọa đã biết.

Twitter Facebook YouTube Copy Link QR Code
CHIẾM QUYỀN KIỂM SOÁT DỮ LIỆU TÀI CHÍNH TRỢ NĂNG ANDROID TIỀN ĐIỆN TỬ MẬT KHẨU ANDROID ĐÁNH CẮP THÔNG TIN PHÁT TÁN TẤN CÔNG OVERLAY GOOGLE PLAY PERSEUS MÃ ĐỘC CHỤP ẢNH MÀN HÌNH PHẦN MỀM ĐỘC HẠI GIẢ MẠO ỨNG DỤNG APK RECOVERY PHRASES IPTV
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Ấn phẩm ATTT Ấn phẩm Khoa học
    Trang liên kết