Chuột BTMOB
BTMOB RAT là một loại Trojan truy cập từ xa (RAT) tinh vi dành cho Android, được phân phối thông qua mô hình Phần mềm độc hại dưới dạng dịch vụ (MaaS). Được các nhà nghiên cứu an ninh mạng ghi nhận lần đầu vào tháng 2 năm 2025, phần mềm độc hại này cho phép tội phạm mạng mua hoặc thuê một bộ công cụ gián điệp hoạt động đầy đủ mà không cần chuyên môn kỹ thuật hoặc kiến thức lập trình.
Mối đe dọa này xuất hiện như là phiên bản kế nhiệm của dòng phần mềm độc hại Android trước đó có tên SpySolr. Bằng cách áp dụng mô hình phân phối thương mại, những kẻ đứng sau BTMOB RAT đã giảm đáng kể rào cản gia nhập cho tội phạm muốn thực hiện các hoạt động gián điệp di động, đánh cắp thông tin đăng nhập và gian lận tài chính trên quy mô lớn.
Mục lục
Khai thác các tính năng trợ năng của Android để kiểm soát hoàn toàn thiết bị.
Một trong những khả năng nguy hiểm nhất của phần mềm độc hại này nằm ở việc lợi dụng Dịch vụ Trợ năng Android. Bằng cách thao túng các dịch vụ này, BTMOB RAT âm thầm giành được quyền truy cập cao hơn mà không kích hoạt thêm các lời nhắc bảo mật có thể cảnh báo nạn nhân.
Sau khi được kích hoạt, phần mềm độc hại có thể thực hiện các hành động thay mặt chủ sở hữu thiết bị. Nó có thể đọc nội dung màn hình, tương tác với các yếu tố giao diện, phê duyệt quyền và âm thầm mở rộng quyền kiểm soát thiết bị. Kỹ thuật này cho phép kẻ tấn công duy trì quyền truy cập liên tục và bí mật trong khi vượt qua nhiều biện pháp bảo vệ an ninh truyền thống.
Khả năng giám sát và đánh cắp dữ liệu quy mô lớn
Phần mềm độc hại BTMOB RAT cung cấp cho kẻ tấn công chức năng giám sát và do thám mở rộng. Các thiết bị bị nhiễm sẽ hoàn toàn bị phơi bày trước người điều khiển từ xa, cho phép giám sát liên tục và tương tác trực tiếp với hoạt động trên điện thoại thông minh của nạn nhân.
Phần mềm độc hại này có khả năng:
- Đánh cắp danh bạ, tin nhắn SMS, nhật ký cuộc gọi và thông tin đăng nhập tài khoản đã lưu.
- Chụp ảnh màn hình, ghi lại hoạt động thiết bị, mở ứng dụng từ xa và giám sát hành động của người dùng trong thời gian thực.
Không giống như nhiều phần mềm độc hại ngân hàng thông thường chỉ tập trung vào việc đánh cắp tài chính, BTMOB RAT cung cấp khả năng quản trị từ xa rộng rãi, giúp biến điện thoại bị nhiễm thành thiết bị giám sát được điều khiển từ xa một cách hiệu quả.
Phần mềm độc hại tùy chỉnh được thiết kế để né tránh sự phát hiện.
Bảng điều khiển trình tạo APK tích hợp cho phép khách hàng tạo ra các biến thể phần mềm độc hại tùy chỉnh với nỗ lực tối thiểu. Trình tạo này cho phép người vận hành sửa đổi tên ngụy trang, tham số nhắm mục tiêu theo khu vực và cài đặt cụ thể cho chiến dịch mà không cần viết bất kỳ mã nào.
Khả năng tùy chỉnh này khiến việc phát hiện trở nên khó khăn hơn đáng kể đối với các sản phẩm bảo mật, vì mỗi lần triển khai có thể trông hơi khác so với các mẫu trước đó. Các nhà nghiên cứu đã quan sát thấy khoảng 15 mẫu BTMOB RAT v2.5 chỉ trong vòng hai tuần vào cuối tháng 1 năm 2025, cho thấy tốc độ phát triển nhanh chóng và chu kỳ phân phối mạnh mẽ của phần mềm độc hại này.
Thúc đẩy tội phạm và các chiến dịch khu vực tích cực
Phần mềm BTMOB RAT đang được quảng cáo công khai trên nhiều nền tảng trực tuyến. Theo báo cáo, phí đăng ký sử dụng vào khoảng 700 đô la mỗi tháng, ngoài ra còn có tùy chọn cấp phép trọn đời cho người mua. Hoạt động quảng bá đã được phát hiện trên các kênh Telegram, diễn đàn ngầm và các nền tảng mạng xã hội như Instagram và X (Twitter).
Hầu hết các chiến dịch lừa đảo được ghi nhận chủ yếu nhắm vào người dùng ở Brazil, mặc dù một số hoạt động lừa đảo khác cũng nhắm vào nạn nhân ở Argentina. Một số chiến dịch giả mạo các cơ quan thuế và hải quan địa phương để tăng độ tin cậy và dụ dỗ nạn nhân tải xuống các ứng dụng độc hại.
Các phương pháp lây nhiễm bắt chước các nền tảng đáng tin cậy
Các chiến dịch phát tán phần mềm độc hại thường dựa vào các trang web lừa đảo giả mạo các dịch vụ phát trực tuyến hợp pháp, nền tảng tiền điện tử và các thương hiệu quen thuộc khác. Nạn nhân bị chuyển hướng đến các cửa hàng ứng dụng giả mạo được thiết kế để giống với giao diện chính thức của Google Play Store.
Người dùng sau đó bị thuyết phục tải xuống các trình cài đặt APK độc hại được lưu trữ bên ngoài hệ sinh thái chính thức của Google. Phần mềm độc hại này cũng đã lan rộng nhờ hoạt động quảng bá rầm rộ trên mạng xã hội và các cộng đồng ngầm, nơi các mẫu miễn phí được phát tán để thu hút thêm khách hàng tội phạm.
Nguy cơ ngày càng tăng của các biến thể trong tương lai
Các nhà phát triển tội phạm mạng liên tục cải tiến khung phần mềm độc hại của họ để nâng cao khả năng duy trì hoạt động, tàng hình và tấn công. Do đó, các phiên bản tương lai của BTMOB RAT có thể sẽ giới thiệu thêm các tính năng, cơ chế né tránh mạnh mẽ hơn hoặc chức năng tấn công mở rộng hơn so với những gì đã được ghi nhận.
Sự hiện diện của phần mềm độc hại như BTMOB RAT trên thiết bị có thể dẫn đến vi phạm quyền riêng tư nghiêm trọng, đánh cắp danh tính, giao dịch tài chính trái phép và thậm chí là nhiều lần lây nhiễm thứ cấp làm suy yếu thêm hệ thống bị ảnh hưởng.
Các phần mềm độc hại truy cập từ xa khác nhắm vào Android, bao gồm Mirax, Oblivion và Arsink, hoạt động với mục tiêu tương tự: giành quyền truy cập trái phép vào thiết bị, thu thập thông tin nhạy cảm và kiếm tiền từ dữ liệu bị đánh cắp để phục vụ mục đích phạm tội.
Các biện pháp phòng vệ thiết yếu chống lại nhiễm trùng RAT trên Android
Các biện pháp bảo mật di động mạnh mẽ vẫn rất quan trọng để ngăn chặn sự lây nhiễm từ các mối đe dọa như BTMOB RAT.
Các biện pháp bảo vệ chính bao gồm:
- Chỉ tải ứng dụng từ cửa hàng Google Play chính thức hoặc nguồn phát triển đã được xác minh, tránh các liên kết tải xuống không mong muốn, xem xét kỹ quyền truy cập của ứng dụng, luôn cập nhật phần mềm và kiểm tra đánh giá của người dùng trước khi cài đặt.
- Hãy sử dụng các giải pháp bảo mật di động uy tín có khả năng phát hiện các ứng dụng độc hại và hành vi đáng ngờ trước khi xảy ra sự cố.
Trong bối cảnh hệ sinh thái phần mềm độc hại Android tiếp tục phát triển, sự cảnh giác, việc bảo mật phần mềm và quản lý ứng dụng cẩn trọng vẫn là những biện pháp phòng vệ thiết yếu chống lại các mối đe dọa mạng di động ngày càng tinh vi.
