Bạn có bao giờ nghĩ rằng việc chơi game đánh bài trên điện thoại lại có thể biến thiết bị thành công cụ gián điệp? Các chuyên gia an ninh mạng ESET vừa phát hiện chiến dịch tấn công tinh vi của nhóm hacker APT37 thuộc Triều Tiên, nhắm mục tiêu vào cộng đồng người Hàn Quốc sinh sống tại Trung Quốc. Thủ đoạn này không chỉ cho thấy sự tinh vi trong kỹ thuật mà còn bộc lộ chiến lược tâm lý sâu sắc của tin tặc quốc gia. Chúng tôi cho rằng đây là một trong những ví dụ điển hình về cách các threat actor (tác nhân đe dọa) khai thác yếu tố văn hóa để tăng hiệu quả tấn công.

Khi game giải trí trở thành vũ khí gián điệp

APT37, còn được biết đến với tên gọi Reaper hoặc Group123, đã phát triển malware (phần mềm độc hại) có tên 'BirdCall' được ngụy trang trong bộ game đánh bài của công ty Sqgame. Đây không phải cuộc tấn công ngẫu nhiên. Việc lựa chọn game bài như mục tiêu tấn công thể hiện sự hiểu biết sâu sắc về thói quen giải trí của cộng đồng người Á Đông, đặc biệt là người Hàn Quốc tại hải ngoại.

BirdCall hoạt động như một backdoor (cửa sau) cho phép hacker có thể truy cập từ xa vào thiết bị nạn nhân mà không cần sự cho phép. Một khi đã cài đặt, malware này có thể thu thập thông tin cá nhân, theo dõi hoạt động người dùng, thậm chí điều khiển thiết bị từ xa. Chúng tôi đánh giá đây là một trong những chiến thuật tinh vi nhất của APT37 trong thời gian gần đây, khi họ không tấn công trực diện mà chọn cách 'núp bóng' trong các ứng dụng có vẻ vô hại.

Phẫu thuật mã độc: Kỹ thuật cao siêu của tin tặc Bắc Hàn

Theo phân tích của ESET, BirdCall được thiết kế với khả năng anti-detection (chống phát hiện) cao. Malware này không hoạt động ngay sau khi cài đặt mà chờ đợi một khoảng thời gian nhất định để tránh bị các phần mềm antivirus (chống virus) phát hiện. Kỹ thuật này gọi là 'sandbox evasion' (né tránh hộp cát), một phương pháp tinh vi để qua mặt các hệ thống bảo mật hiện đại.

Điều đáng lo ngại hơn là khả năng persistence (tồn tại lâu dài) của BirdCall trên thiết bị Android. Malware này có thể tự động khởi động cùng hệ điều hành, đảm bảo duy trì kết nối với command and control server (máy chủ điều khiển và chỉ huy) của hacker. Chúng tôi nhận định rằng mức độ tinh vi này cho thấy APT37 đã đầu tư đáng kể vào việc nghiên cứu và phát triển công cụ tấn công, không thua kém các nhóm hacker hàng đầu thế giới.

Mục tiêu chiến lược hay động cơ chính trị?

Việc APT37 nhắm mục tiêu cụ thể vào cộng đồng người Hàn Quốc tại Trung Quốc không phải ngẫu nhiên. Cộng đồng này thường duy trì mối liên hệ chặt chẽ với quê hương, có thể là nguồn thông tin quý giá về tình hình kinh tế, chính trị Hàn Quốc. Đồng thời, họ cũng có thể cung cấp thông tin về chính sách của Trung Quốc đối với bán đảo Triều Tiên.

Theo thống kê từ Bộ Ngoại giao Hàn Quốc, hiện có khoảng 2.5 triệu người gốc Hàn sinh sống tại Trung Quốc, phần lớn tập trung tại các tỉnh biên giới phía Đông Bắc. Con số này cho thấy quy mô tiềm năng của chiến dịch tấn công, với hàng ngàn thiết bị có thể đã bị nhiễm malware mà người dùng không hề hay biết.

Cách bảo vệ bản thân trước 'cơn bão' malware di động

Đối với người dùng Việt Nam, mặc dù không phải mục tiêu trực tiếp của chiến dịch này, chúng ta vẫn cần rút ra bài học quan trọng. Trước tiên, chỉ tải ứng dụng từ các cửa hàng chính thức như Google Play Store hoặc App Store. Tuyệt đối tránh cài đặt APK (Android Package Kit) từ nguồn không rõ ràng, đặc biệt là các trang web chia sẻ game 'crack' hoặc miễn phí đáng ngờ.

Bên cạnh đó, người dùng nên bật tính năng 'Unknown sources protection' (bảo vệ nguồn không xác định) trong cài đặt bảo mật Android và thường xuyên cập nhật hệ điều hành. Cài đặt phần mềm antivirus uy tín như Kaspersky, Bitdefender hay ESET Mobile Security cũng là biện pháp phòng ngừa hiệu quả. Cuối cùng, hãy theo dõi các cảnh báo bảo mật từ những trang tin uy tín như KhienSo.vn để cập nhật thông tin về các mối đe dọa mới nhất.