Một nhóm tin tặc nổi tiếng với việc nhắm mục tiêu vào các nhân viên quân sự và ngoại giao Ấn Độ được cho là đã nghĩ ra phần mềm độc hại mới để nhắm mục tiêu vào các thiết bị Android. Được gọi là CapraRAT, trojan truy cập từ xa (RAT) mới có thể lấy cắp các điểm dữ liệu như thông tin vị trí, số điện thoại và lịch sử cuộc gọi, số nhận dạng duy nhất và hơn thế nữa. Nó thậm chí có thể truy cập vào máy ảnh và micrô trên một thiết bị bị nhiễm virus để chuyển tiếp thông tin trở lại các tác nhân đe dọa.
Công cụ hack mới đã được xác định bởi công ty an ninh mạng Trend Micro thông qua dữ liệu thu được từ tháng 1 năm 2020 đến tháng 9 năm 2021 bởi Mạng Bảo vệ Thông minh Trend Micro (SPN). Trong một báo cáo giải thích về mối đe dọa, công ty nhấn mạnh rằng CapraRAT đã được phát hiện sử dụng bởi APT36, một nhóm mối đe dọa dai dẳng nâng cao “có động cơ chính trị” (APT), cũng có tên – Earth Karkaddan, Chiến dịch C-Major, PROJECTM , Mythic Leopard, và Transparent Tribe.
Báo cáo đề cập rằng CapraRAT lấy cảm hứng từ Crimson RAT, một phần mềm độc hại thường được APT36 sử dụng để nhắm mục tiêu các thiết bị Windows. Cả hai phần mềm độc hại đều mang “những điểm tương đồng rõ ràng về thiết kế”, bao gồm tên chức năng, lệnh và khả năng giữa các công cụ.
Phần mềm độc hại, giống như Crimson RAT, dựa vào các liên kết lừa đảo độc hại để nhắm mục tiêu người dùng và thiết bị của họ. Trend Micro lưu ý rằng CapraRAT cũng có những điểm tương đồng và do đó có thể là một phiên bản sửa đổi của RAT mã nguồn mở được gọi là AndroRAT.
Trend Micro nói rằng họ đã quan sát các mẫu CapraRAT “kể từ năm 2017” và nghiên cứu về nó cho thấy rằng trojan Android lần đầu tiên được sử dụng vào năm đó. Giống như Crimson RAT, trojan Android sử dụng các tên miền phụ và tài liệu lừa đảo để đánh lừa mục tiêu tải xuống phần mềm độc hại. Sự lừa dối này thường ở dạng tài liệu chính phủ giả mạo, đường dẫn mật và gần đây là thông tin liên quan đến coronavirus.
Khi ứng dụng độc hại được tải xuống, nó sẽ yêu cầu quyền hệ thống giống như bất kỳ ứng dụng nào khác, ngoại trừ những quyền này có xu hướng xâm phạm thiết bị được nhắm mục tiêu với phần mềm độc hại. Sau khi có được các quyền cần thiết, phần mềm độc hại có thể truy cập vào số điện thoại của nạn nhân và các thông tin liên hệ khác, số nhận dạng duy nhất, thông tin vị trí, lịch sử cuộc gọi điện thoại cũng như micrô và ghi lại các đoạn âm thanh. Nó thậm chí có thể khởi chạy các gói cài đặt ứng dụng khác và thậm chí mở camera của thiết bị.
Báo cáo của Trend Micro nói rằng RAT thậm chí còn có một “cơ chế bền bỉ” có xu hướng giữ cho ứng dụng độc hại luôn hoạt động. “Nó kiểm tra xem dịch vụ có còn chạy mỗi phút hay không và nếu không, dịch vụ sẽ được khởi chạy lại,” báo cáo đề cập.
Công ty an ninh mạng chia sẻ một số mẹo tiêu chuẩn để tránh trở thành nạn nhân của một cuộc tấn công CapraRAT. Nó gợi ý người dùng tránh email và liên kết từ các nguồn không xác định, chỉ tải xuống và cho phép cấp quyền đối với các ứng dụng từ các nguồn đáng tin cậy và sử dụng “giải pháp bảo mật di động nhiều lớp” có thể bảo vệ khỏi một loạt các mối đe dọa trực tuyến.
Trả lời