Phần mềm độc hại DogeRAT
Trong quá trình điều tra kỹ lưỡng về một chiến dịch đánh lạc hướng trình thu thập SMS, các nhà nghiên cứu an ninh mạng đã phát hiện ra một phần mềm độc hại Android mã nguồn mở mới có tên DogeRAT (Trojan truy cập từ xa). Phần mềm đe dọa này được thiết kế đặc biệt để nhắm mục tiêu vào cơ sở khách hàng rộng khắp trong các ngành khác nhau, đặc biệt tập trung vào lĩnh vực Ngân hàng và Giải trí. Mặc dù các mục tiêu chính của chiến dịch này là người dùng ở Ấn Độ, nhưng phạm vi của nó mở rộng ra toàn cầu. Thủ phạm của phần mềm độc hại này sử dụng các nền tảng truyền thông xã hội và ứng dụng nhắn tin làm kênh phân phối, ngụy trang phần mềm độc hại thành ứng dụng hợp pháp. Các chi tiết về mối đe dọa di động DogeRAT và chiến dịch tấn công của nó đã được tiết lộ bởi các chuyên gia infosec.
Các tác nhân đe dọa có thể sử dụng DogeRAT để chiếm đoạt thiết bị và lấy đi thông tin nhạy cảm
Sau khi được cài đặt trên thiết bị, phần mềm độc hại sẽ bắt đầu một loạt yêu cầu cấp quyền, bao gồm quyền truy cập vào nhật ký cuộc gọi, bản ghi âm, tin nhắn SMS, tệp phương tiện và ảnh. Các quyền này bị phần mềm độc hại khai thác để thao túng thiết bị, tạo điều kiện thực hiện các hoạt động có hại khác nhau mà người dùng không biết hoặc không đồng ý. Các hoạt động như vậy bao gồm truyền tin nhắn rác, giao dịch thanh toán trái phép, sửa đổi trái phép tệp và chụp ảnh kín đáo bằng camera của thiết bị.
DogeRAT hoạt động thông qua mã phía máy chủ dựa trên Java được phát triển trong NodeJs, cho phép liên lạc liền mạch giữa phần mềm độc hại và Telegram Bot của hoạt động tấn công. Ngoài ra, phần mềm độc hại tận dụng chế độ xem Web để hiển thị URL của thực thể được nhắm mục tiêu, ngụy trang hiệu quả ý định đe dọa của nó và có vẻ xác thực hơn đối với người dùng.
DogeRAT được rao bán qua các kênh Telegram
Những người tạo ra DogeRAT đã đóng vai trò tích cực trong việc quảng bá phần mềm độc hại của họ thông qua hai Kênh Telegram. Ngoài phiên bản tiêu chuẩn, tác giả còn cung cấp phiên bản cao cấp của mối đe dọa di động có các chức năng nâng cao. Phiên bản nâng cấp này bao gồm các tính năng như chụp ảnh màn hình, thu thập hình ảnh từ thư viện của thiết bị, hoạt động như một keylogger để ghi lại các lần gõ phím, trích xuất thông tin khay nhớ tạm và giới thiệu trình quản lý tệp mới. Hơn nữa, phiên bản cao cấp nhấn mạnh tính bền bỉ được nâng cao và thiết lập các kết nối bot mượt mà hơn với thiết bị bị nhiễm.
Để hỗ trợ thêm cho việc phân phối và sử dụng DogeRAT, tác giả đã thiết lập kho lưu trữ GitHub. Kho lưu trữ này đóng vai trò là nền tảng lưu trữ cho RAT và cung cấp các tài nguyên bổ sung, chẳng hạn như video hướng dẫn. Kho lưu trữ cũng trình bày một danh sách đầy đủ các tính năng và khả năng do DogeRAT cung cấp, làm nổi bật hơn nữa tiềm năng đe dọa của nó.
DogeRAT là một ví dụ khác cho thấy động lực tài chính cơ bản là lý do chính thúc đẩy những kẻ lừa đảo liên tục phát triển các chiến thuật của chúng. Do đó, các vectơ lây nhiễm bị các nhóm tội phạm mạng lạm dụng đã mở rộng ra ngoài việc tạo các trang web lừa đảo, vì giờ đây chúng còn phân phối các Trojan Truy cập Từ xa (RAT) đã sửa đổi hoặc sử dụng lại các ứng dụng đe dọa hiện có. Bằng cách sử dụng các chiến dịch gây hiểu lầm có chi phí thấp và dễ triển khai này, những kẻ lừa đảo có thể đạt được lợi nhuận đáng kể từ các hoạt động bất hợp pháp của mình.
