Bleeping Computer cho hay các chuyên gia bảo mật tại Công ty Trend Micro (Nhật Bản) vừa phát hiện ra một loại mã độc có tên MMRat. Mã độc này thường phát tán trên điện thoại Android thông qua những kho ứng dụng giả mạo Google Play.

"Mã độc MMRat sẽ lợi dụng dịch vụ trợ năng trên điện thoại Android, từ đó đánh lừa nạn nhân cấp quyền truy cập vào thiết bị. Mã độc này còn có thể tự động thực hiện nhiều hoạt động đen tối trên điện thoại của nạn nhân" – các chuyên gia nhấn mạnh.

Nếu để mã độc MMRat xâm nhập vào điện thoại, nó lập tức kết nối với máy chủ do tin tặc điều khiển từ xa. Sau đó, mã độc này sẽ âm thầm theo dõi hoạt động của thiết bị để tìm ra khoảng thời gian mà người dùng không sử dụng điện thoại.

Khi đó, tin tặc sẽ kích hoạt thiết bị từ xa, mở khóa và thực hiện thu thập các thông tin bao gồm dữ liệu mạng, màn hình, pin, danh bạ hay nội dung tin nhắn. Thậm chí, tin tặc còn có thể truy cập vào các ứng dụng ngân hàng để đánh cắp tiền trong tài khoản.

MMRat sử dụng giao thức ra lệnh và kiểm soát (C2) tùy chỉnh dựa trên bộ đệm giao thức (còn gọi là protobuf). Mã độc lạm dụng dịch vụ trợ năng (Accessibility) của Android và MediaProjection API để thực hiện các hoạt động gian lận tài chính.

Người dùng cảnh giác với mã độc MMRat đánh cắp tiền trong tài khoản ngân hàng. Ảnh minh họa

Mã độc còn có thể thu thập nhiều loại dữ liệu và thông tin cá nhân của nạn nhân, bao gồm cường độ tín hiệu, trạng thái màn hình và số liệu thống kê về pin, ứng dụng đã cài đặt và danh bạ. Chưa dừng lại ở đó, nó còn có khả năng ghi lại nội dung màn hình theo thời gian thực, chụp lại hình vẽ mở khóa để xâm nhập vào điện thoại từ xa.

Sau khi xâm nhập và thực hiện cuộc tấn công thành công, kẻ gian sẽ gửi lệnh C2 UNINSTALL_APP để xóa MMRAT tự động, loại bỏ mọi dấu vết sau khi lây nhiễm.

Các nhà nghiên cứu đã tìm thấy phần mềm độc hại ẩn trong các cửa hàng ứng dụng di động giả mạo, giả dạng ứng dụng của cơ quan chức năng hoặc ứng dụng hẹn hò.

Các nhà nghiên cứu cho rằng chiến dịch tấn công bằng MMRAT đã được triển khai từ cuối tháng 6/2023, nhắm mục tiêu vào người dùng ở Đông Nam Á. Những ngôn ngữ trên loạt trang web lừa đảo chỉ ra rằng phần mềm độc hại nhắm mục tiêu đến người dùng Indonesia, Việt Nam, Singapore và Philippines.

Để giảm thiểu các mối đe dọa do phần mềm độc hại gây ra, các chuyên gia khuyến cáo người dùng chỉ nên tải xuống các ứng dụng từ những nguồn chính thức, đơn cử như Google Play hoặc App Store. Dù mọi thứ không thể an toàn 100% nhưng vẫn tốt hơn so với các cửa hàng bên ngoài. Ngoài ra, bạn cũng nên kiểm tra kĩ quyền hạn của các ứng dụng sau khi cài đặt để hạn chế bị lạm quyền.