Cảnh báo mã độc BTMOB mới trên Android: Chiếm đoạt toàn quyền kiểm soát thiết bị
ESET cảnh báo về mã độc BTMOB, một loại Trojan truy cập từ xa (RAT) nguy hiểm nhắm vào người dùng Android. Được phân phối qua các cuộc tấn công lừa đảo, phần mềm độc hại này cho phép tin tặc đánh cắp dữ liệu, chụp màn hình và kiểm soát thiết bị từ xa hoàn toàn.
Công ty bảo mật ESET vừa đưa ra cảnh báo về sự gia tăng của mã độc BTMOB, một loại Trojan truy cập từ xa (RAT) đang đe dọa nghiêm trọng người dùng hệ điều hành Android nhờ khả năng đánh cắp dữ liệu và chiếm quyền kiểm soát thiết bị.
Được cho là phát triển dựa trên mã độc SpySolr, BTMOB được phát tán chủ yếu thông qua các cuộc tấn công lừa đảo (phishing). Kẻ tấn công sử dụng các mồi nhử hấp dẫn như dịch vụ phát trực tuyến (streaming), đào tiền ảo (cryptocurrency mining) hoặc các dịch vụ phổ biến khác để dụ người dùng tải xuống.
Cập nhật bảo mật Android
Điểm đáng lo ngại là những kẻ phát triển BTMOB bán nó dưới dạng một bộ công cụ (kit) đi kèm giao diện xây dựng APK. Điều này cho phép các nhóm tội phạm mạng tùy chỉnh các mồi nhử lừa đảo và tạo ra các payload độc hại mới nhắm vào các khu vực địa lý cụ thể mà không cần biết viết code.
"Khi ai đó mua bộ công cụ độc hại này, họ có thể thích ứng các tính năng, bao gồm cả các trang lừa đảo để mạo danh thương hiệu hoặc cơ quan có khả năng dụ dỗ nạn nhân ở bất kỳ quốc gia nào," ESET nhận định.
Mã độc này được quảng cáo công khai qua một trang web dẫn đến kênh Telegram, cũng như thông qua các tài khoản mạng xã hội trên X và Instagram. Giá bán cho giấy phép trọn đời của BTMOB là 5.000 USD, kèm theo phí hỗ trợ hàng tháng.
Mối đe dọa an ninh mạng
Về quy trình hoạt động, tin tặc gửi tin nhắn lừa đảo dẫn nạn nhân đến các trang web giả mạo dịch vụ hợp pháp. Những trang này sau đó chuyển hướng người dùng đến các cửa hàng ứng dụng giả, nơi họ tải xuống tệp APK chứa mã độc.
Khi được thực thi trên thiết bị, BTMOB cố gắng có được quyền truy cập quá mức bằng cách lạm dụng Dịch vụ Trợ năng (Accessibility Services) của Android để nâng cao đặc quyền trên hệ thống mà không cần sự tương tác của người dùng.
ESET cho biết: "Khác với các Trojan ngân hàng chỉ 'nhắm' vào việc đánh cắp thông tin đăng nhập tài chính hoặc chặn giao dịch tài chính của mọi người, BTMOB mang lại cho đối thủ nhiều lựa chọn rộng rãi hơn: trích xuất nhiều dữ liệu nhạy cảm, chụp màn hình và ghi lại hoạt động trên thiết bị, và cuối cùng là kiểm soát từ xa nó."
Công ty an ninh mạng lưu ý rằng mã độc này đang biến đổi rất nhanh với nhiều biến thể được quan sát thấy trong một thời gian ngắn, mặc dù một số mô hình hạ tầng nhất định vẫn giữ nguyên qua các lần lặp lại. Hiện tại, BTMOB chủ yếu được quan sát thấy trong các cuộc tấn công tại Mỹ Latinh, nhưng rủi ro mà nó gây ra có thể vượt ra ngoài khu vực này.
