Công cụ quản trị từ xa có tên là Rogue (tên viết tắt trong tiếng Anh là RAT) lây nhiễm vào thiết bị của nạn nhân bằng keylogger, cho phép tin tặc dễ dàng theo dõi việc sử dụng các trang web và ứng dụng nhằm đánh cắp tên người dùng và mật khẩu, cũng như dữ liệu tài chính. Các phần mềm độc hại có chi phí thấp đang phản ánh sự tinh vi ngày càng tăng của hệ sinh thái tội phạm, khiến cho những tin tặc có khả năng kỹ thuật hạn chế cũng có được các công cụ để thực hiện các cuộc tấn công.
Phần mềm độc hại này đe dọa theo dõi toàn diện trên thiết bị bằng cách giám sát vị trí GPS của mục tiêu, chụp ảnh màn hình, sử dụng camera để chụp ảnh, bí mật ghi âm các cuộc gọi và nhiều mục đích khác. Chúng thực hiện tất cả những điều này trong khi nạn nhân không hề hay biết và tất cả những gì kẻ tấn công cần là điện thoại thông minh cá nhân của chúng để ra lệnh.
Rogue đã được trình bày chi tiết bởi các nhà nghiên cứu an ninh mạng tại Check Point, họ nói rằng nó không phải là một dạng phần mềm độc hại hoàn toàn mới mà được lấy sẵn từ mã nguồn mở và Darknet. Đây là phiên bản kết hợp của hai họ phần mềm độc hại Android RAT trước đó - Cosmos và Hawkshaw, điều này chứng minh sự phát triển của phần mềm độc hại trong web đen.
Sau khi được tải xuống điện thoại thông minh, phần mềm độc hại Rogue yêu cầu các quyền cần thiết để tin tặc có thể truy cập từ xa vào thiết bị. Nếu quyền không được cấp, nó sẽ liên tục yêu cầu người dùng cho đến khi họ cấp quyền.
Khi đã có được quyền truy cập, Rogue tự đăng ký với tư cách là quản trị thiết bị và ẩn biểu tượng của nó khỏi màn hình chính. Nếu người dùng cố gắng thu hồi các thông tin, thì một thông báo hiển thị "Bạn có chắc chắn xóa tất cả dữ liệu không?". Điều này có thể khiến nhiều người sợ hãi khi cố gắng xóa cài đặt, vì lo sợ mất dữ liệu.
Để tránh bị phát hiện, phần mềm độc hại này khai thác dịch vụ Firebase của Google cho các ứng dụng, để giả mạo là một ứng dụng hợp pháp trên thiết bị và giúp nó vẫn được nhúng và hoạt động.
Sau khi được nhúng thành công trên một thiết bị, phần mềm độc hại sẽ cài đặt dịch vụ thông báo của riêng nó, cho phép kẻ điều khiển mã độc kiểm tra thông báo nào và cửa sổ bật lên mà nạn nhân nhận được, cho chúng cơ hội kiểm tra dữ liệu nào có sẵn trên thiết bị.
Một trong những cách tốt nhất để người dùng tránh trở thành nạn nhân của phần mềm độc hại trên thiết bị di động là cài đặt các bản cập nhật bảo mật. Ngoài ra, người dùng nên cảnh giác với các ứng dụng có yêu cầu quá nhiều quyền. Điều lý tưởng là người dùng chỉ nên tải xuống các ứng dụng có nguồn gốc đáng tin cậy từ cửa hàng ứng dụng chính thức.
Nguyễn Anh Tuấn
(theo ZDNet)
16:00 | 08/12/2020
08:00 | 18/03/2021
11:00 | 22/08/2020
13:00 | 17/02/2021
13:00 | 19/09/2021
13:00 | 28/05/2020
09:00 | 22/03/2021
14:00 | 17/05/2021
15:00 | 15/11/2023
VideoLAN vừa phát hành phiên bản VLC Media Player 3.0.20, hiện đã có sẵn cho hệ điều hành Windows, Mac và Linux để giải quyết hai lỗ hổng nghiêm trọng.
08:00 | 13/10/2023
Các lỗ hổng bảo mật gần đây được phát hiện trong máy chủ Exim có thể cho phép kẻ tấn công xâm nhập vào hệ thống và giành quyền truy cập dữ liệu nhạy cảm, bao gồm cả email. Đây không phải là lần đầu tiên lỗ hổng bảo mật được phát hiện đối với các máy chủ email. Vào tháng 5/2021, tổ chức cung cấp giải pháp bảo mật Qualys đã tiết lộ một bộ 21 lỗ hổng được gọi chung là “21Nails” cho phép những kẻ tấn công không được xác thực có thể thực thi mã từ xa và giành quyền kiểm soát hệ thống trên hàng triệu máy chủ email.
16:00 | 06/09/2023
Chuyên gia an ninh mạng của Zero Day Initiative phát hiện lỗ hổng nghiêm trọng trong WinRAR - công cụ giải nén phổ biến được hàng triệu người dùng Windows sử dụng. Lỗ hổng này đã được báo cáo lỗ hổng cho nhà cung cấp RARLAB. Đáng lưu ý, tin tặc có thể thực thi các lệnh trên máy tính từ xa nếu người dùng vô tình mở một file nén có mã độc.
09:00 | 05/06/2023
Mới đây, GitLab đã phát hành bản cập nhật khẩn cấp, phiên bản 16.0.1 cho GitLab Community Edition (CE) và Enterprise Edition (EE) để giải quyết lỗ hổng nghiêm trọng trong phiên bản 16.0.0 có điểm CVSS 10/10.
Trên trang web của RansomHub, nhóm tin tặc tống tiền này đã công bố một số dữ liệu đã đánh cắp từ công ty con Change Healthcare của United Health. Đây là hành động nhằm mục đích yêu cầu công ty chăm sóc sức khỏe của Hoa Kỳ phải đáp ứng những điều khoản trong thỏa thuận tống tiền của tin tặc.
12:00 | 06/05/2024