Trojan Android mới phát hiện có tên ‘MMRat’ đang gây ra nguy cơ nghiêm trọng đối với an ninh mobile banking. Không giống như các dạng mã độc khác, trojan này được thiết kế để trốn tránh cơ chế phát hiện của phần mềm antivirus truyền thống.
Các chuyên gia TrendMicro đã xác định trojan là AndroidOS_MMRat.HRX, cảnh báo người dùng nên cẩn trọng khi tải xuống ứng dụng mới hoặc truy cập thông tin ngân hàng từ thiết bị Android. Những kẻ đứng sau trojan đã thực hiện hành vi gian lận tài chính bằng cách nhắm mục tiêu vào người dùng di động ở Đông Nam Á kể từ cuối tháng 6/2023.
Mã độc tinh vi hoạt động dưới tên gói com.mm.user, được trang bị các khả năng nâng cao, bao gồm thu thập dữ liệu đầu vào của người dùng, điều khiển thiết bị từ xa và lọc dữ liệu.
MMRat sử dụng các trang web lừa đảo, giả mạo là cửa hàng ứng dụng hợp pháp để phân phối payload. Các trang này được điều chỉnh phù hợp với nhân khẩu học ngôn ngữ cụ thể, cho thấy cách tiếp cận có mục tiêu để lựa chọn nạn nhân.
Hiện vẫn chưa rõ cơ chế chính xác về cách thức các đường link độc hại tiếp cận thiết bị nạn nhân. Một khía cạnh đáng chú ý trong quá trình xâm nhập của MMRat là nó hoàn toàn trốn tránh cơ chế phát hiện. Ngay cả trên VirusTotal, mã độc vẫn không bị phát hiện, điều này nhấn mạnh tính hiệu quả của các chiến thuật mà mã độc trang bị.
Quá trình tấn công sử dụng MMRat diễn ra như sau:
1 – Nạn nhân tải xuống và cài đặt MMRat
2 – Nạn nhân cấp các quyền cần thiết
3 – MMRat thiết lập liên lạc với máy chủ từ xa, gửi lượng dữ liệu đáng kể, bao gồm thông tin cá nhân và thông tin liên quan đến thiết bị.
Hacker có thể đánh thức thiết bị từ xa, mở khóa màn hình và thực hiện lừa đảo ngân hàng. Ngoài ra, kẻ tấn công có thể hiển thị màn hình thiết bị theo thời gian thực thông qua tính năng chụp màn hình.
Sau khi hoàn thành các mục tiêu của mình, MMRat sẽ tự gỡ cài đặt, gần như không để lại dấu vết trên hệ thống.
Nguồn: GBhackers