Phần mềm gián điệp di động ZeroDayRAT

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một nền tảng phần mềm gián điệp di động tinh vi có tên ZeroDayRAT, hiện đang được quảng bá trên Telegram như một giải pháp toàn diện để trích xuất dữ liệu nhạy cảm và tiến hành giám sát thời gian thực trên cả thiết bị Android và iOS. Được tiếp thị như một bộ công cụ gián điệp sẵn sàng triển khai, nền tảng này vượt xa việc thu thập dữ liệu cơ bản và tiến vào giám sát chủ động và khai thác tài chính trực tiếp.

Nhà điều hành duy trì các kênh Telegram chuyên dụng cho bán hàng, hỗ trợ khách hàng và cập nhật liên tục, cung cấp cho người mua quyền truy cập tập trung vào một hệ sinh thái phần mềm gián điệp đầy đủ chức năng. Mô hình phân phối tinh gọn này giúp giảm đáng kể rào cản gia nhập cho tội phạm mạng đang tìm kiếm các khả năng giám sát tiên tiến.

Khả năng tương thích thiết bị rộng rãi và triển khai linh hoạt

ZeroDayRAT hỗ trợ các phiên bản Android từ 5 đến 16 và iOS lên đến 26, đảm bảo phạm vi phủ sóng rộng rãi trên nhiều thiết bị. Phần mềm độc hại này được cho là phát tán chủ yếu thông qua các chiến dịch lừa đảo qua mạng và các chợ ứng dụng giả mạo được thiết kế để đánh lừa người dùng cài đặt các ứng dụng độc hại.

Người mua sẽ nhận được một công cụ tạo phần mềm độc hại, công cụ này tạo ra các tệp nhị phân độc hại tùy chỉnh. Các tệp nhị phân này được quản lý thông qua một bảng điều khiển trực tuyến mà người điều hành có thể triển khai trên máy chủ của riêng họ, cấp cho họ toàn quyền quản trị đối với các thiết bị bị nhiễm.

Thông tin chi tiết về thiết bị và theo dõi vị trí toàn diện

Sau khi cài đặt, ZeroDayRAT cung cấp cho người điều hành khả năng giám sát toàn diện thiết bị bị xâm nhập. Thông qua bảng điều khiển quản lý tự lưu trữ, kẻ tấn công có thể truy cập thông tin chi tiết như kiểu máy, phiên bản hệ điều hành, trạng thái pin, dữ liệu SIM, thông tin nhà mạng, mức sử dụng ứng dụng, nội dung thông báo và xem trước các tin nhắn SMS gần đây. Thông tin này cho phép kẻ tấn công xây dựng hồ sơ nạn nhân chi tiết, bao gồm cả các kiểu giao tiếp và các ứng dụng được sử dụng thường xuyên.

Nền tảng này cũng thu thập tọa độ GPS trực tiếp và lập bản đồ bằng Google Maps, đồng thời lưu giữ nhật ký lịch sử di chuyển của nạn nhân. Việc theo dõi vị trí địa lý liên tục này biến thiết bị bị nhiễm thành một công cụ giám sát liên tục.

Liệt kê tài khoản và lộ thông tin đăng nhập

Một tính năng đáng lo ngại đặc biệt là mục 'Tài khoản', liệt kê mọi tài khoản đã đăng ký trên thiết bị bị nhiễm. Điều này bao gồm các dịch vụ được sử dụng rộng rãi như:

• Google, WhatsApp, Instagram, Facebook, Telegram
• Amazon, Flipkart, PhonePe, Paytm và Spotify

Tên người dùng hoặc địa chỉ email liên kết cũng bị lộ, tạo điều kiện cho việc thu thập thông tin đăng nhập, lập hồ sơ danh tính và các nỗ lực chiếm đoạt tài khoản tiềm tàng.

Vượt qua hệ thống giám sát nâng cao và xác thực hai yếu tố.

ZeroDayRAT tích hợp một loạt các khả năng giám sát và chặn bắt xâm nhập. Chúng bao gồm:

• Ghi lại thao tác gõ phím để thu thập thông tin đăng nhập và thông tin liên lạc riêng tư.
• Trích xuất tin nhắn SMS, bao gồm cả mật khẩu dùng một lần (OTP) được sử dụng để vượt qua xác thực hai yếu tố.
• Truyền phát hình ảnh và camera theo thời gian thực, đồng thời kích hoạt micro để giám sát hình ảnh và âm thanh trực tiếp.

Những tính năng này cho phép kẻ thù tiến hành giám sát trực tiếp, tương tác, biến các thiết bị bị xâm nhập thành công cụ thu thập thông tin tình báo từ xa.

Các mô-đun tích hợp chống trộm tiền điện tử và ngân hàng

Ngoài chức năng giám sát, phần mềm độc hại này còn tích hợp các cơ chế đánh cắp tài chính. Một thành phần đánh cắp tiền điện tử sẽ quét các ứng dụng ví điện tử như MetaMask, Trust Wallet, Binance và Coinbase. Khi nạn nhân sao chép địa chỉ ví vào clipboard, phần mềm độc hại sẽ thay thế nó bằng một địa chỉ do kẻ tấn công kiểm soát, chuyển hướng các giao dịch mà người dùng không hề hay biết.

Một mô-đun đánh cắp thông tin ngân hàng chuyên dụng nhắm mục tiêu vào các dịch vụ thanh toán kỹ thuật số, bao gồm Apple Pay, Google Pay, PayPal và PhonePe. PhonePe sử dụng Giao diện Thanh toán Thống nhất (UPI) của Ấn Độ, một giao thức được thiết kế để tạo điều kiện thuận lợi cho các giao dịch giữa các ngân hàng với nhau và giữa cá nhân với người bán, khiến nó trở thành mục tiêu hấp dẫn đối với các đối tượng có động cơ tài chính.

Các mối đe dọa gián điệp di động đang phát triển

ZeroDayRAT là một khung phần mềm tấn công di động hoàn chỉnh, cung cấp các khả năng mà trước đây cần đến nguồn lực của nhà nước hoặc phát triển khai thác lỗ hổng tùy chỉnh, nay đã có sẵn trên thị trường thông qua Telegram. Chỉ một người điều hành duy nhất có thể truy cập vào dữ liệu vị trí, thông tin liên lạc, tài khoản tài chính, hình ảnh từ camera, âm thanh từ micro và các thao tác gõ phím của nạn nhân thông qua trình duyệt.

Phần mềm độc hại này phù hợp với xu hướng rộng hơn trong các mối đe dọa trên thiết bị di động, lợi dụng các chiến dịch lừa đảo và xâm nhập vào các cửa hàng ứng dụng chính thức. Kẻ tấn công đã nhiều lần tìm ra các phương pháp để vượt qua các biện pháp bảo vệ do Apple và Google triển khai, thường là bằng cách thao túng người dùng cài đặt các ứng dụng độc hại.

Trên các thiết bị iOS, các chiến dịch tấn công thường xuyên lợi dụng cơ chế cấp phép doanh nghiệp cho phép các tổ chức phân phối ứng dụng bên ngoài App Store chính thức. Bằng cách thương mại hóa các gói phần mềm gián điệp kết hợp các tính năng giám sát và đánh cắp tài chính, các tác nhân đe dọa tiếp tục giảm bớt rào cản kỹ thuật cho những tội phạm mạng ít kinh nghiệm hơn, đồng thời nâng cao mức độ tinh vi và khả năng tồn tại dai dẳng của các cuộc tấn công nhắm vào thiết bị di động.

ZeroDayRAT nhấn mạnh một thực tế quan trọng: khả năng giám sát di động tiên tiến và khai thác tài chính không còn chỉ giới hạn ở các nhóm tội phạm mạng tinh nhuệ mà ngày càng dễ tiếp cận trong thế giới ngầm tội phạm mạng.