Một trojan truy cập từ xa mã nguồn mở mới (RAT) được gọi là DogeRAT nhắm mục tiêu người dùng Android chủ yếu ở Ấn Độ như một phần của chiến dịch phần mềm độc hại tinh vi.
Phần mềm độc hại được phân phối qua mạng xã hội và nền tảng nhắn tin dưới vỏ bọc của các ứng dụng hợp pháp như Opera Mini, OpenAI ChatGOT và các phiên bản Premium của YouTube, Netflix và Instagram.
“Sau khi được cài đặt trên thiết bị của nạn nhân, phần mềm độc hại sẽ có quyền truy cập trái phép vào dữ liệu nhạy cảm, bao gồm danh bạ, tin nhắn và thông tin đăng nhập ngân hàng”, công ty an ninh mạng CloudSEK cho biết trong một báo cáo hôm thứ Hai.
“Nó cũng có thể kiểm soát thiết bị bị nhiễm, cho phép thực hiện các hành động độc hại như gửi tin nhắn rác, thanh toán trái phép, sửa đổi tệp và thậm chí chụp ảnh từ xa thông qua camera của thiết bị.”
DogeRAT, giống như nhiều dịch vụ phần mềm độc hại dưới dạng dịch vụ (MaaS) khác, được nhà phát triển có trụ sở tại Ấn Độ quảng bá thông qua kênh Telegram có hơn 2.100 người đăng ký kể từ khi được tạo vào ngày 9 tháng 6 năm 2022.
Điều này cũng bao gồm một thuê bao cao cấp được bán với giá cực rẻ ($30) với các khả năng bổ sung như chụp ảnh màn hình, đánh cắp hình ảnh, chụp nội dung khay nhớ tạm và ghi lại các lần nhấn phím.
Trong một nỗ lực tiếp theo để làm cho các phần tử tội phạm khác dễ tiếp cận hơn, phiên bản miễn phí của DogeRAT đã được cung cấp trên GitHub, cùng với các ảnh chụp màn hình và video hướng dẫn giới thiệu các chức năng của nó.
Nhà phát triển tuyên bố trong tệp README.md của kho lưu trữ: “Chúng tôi không xác nhận bất kỳ việc sử dụng bất hợp pháp hoặc phi đạo đức nào đối với công cụ này”. “Người dùng chịu mọi trách nhiệm về việc sử dụng phần mềm này.”
Sau khi cài đặt, phần mềm độc hại dựa trên Java yêu cầu quyền xâm nhập để thực hiện các mục tiêu thu thập dữ liệu của nó, trước khi đưa nó vào bot Telegram.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
Zero Trust + Lừa đảo: Học cách qua mặt những kẻ tấn công!
Khám phá cách Deception có thể phát hiện các mối đe dọa nâng cao, ngăn chặn chuyển động ngang và nâng cao chiến lược Zero Trust của bạn. Tham gia hội thảo trên web sâu sắc của chúng tôi!
Giữ chỗ ngồi của tôi!
Nhà nghiên cứu Anshuman Das của CloudSEK cho biết: “Chiến dịch này là một lời nhắc nhở rõ ràng về động lực tài chính thúc đẩy những kẻ lừa đảo liên tục phát triển các chiến thuật của chúng”.
“Chúng không chỉ giới hạn trong việc tạo các trang web lừa đảo mà còn phân phối các RAT đã sửa đổi hoặc tái sử dụng các ứng dụng độc hại để thực hiện các chiến dịch lừa đảo với chi phí thấp và dễ thiết lập nhưng mang lại lợi nhuận cao.”
Những phát hiện được đưa ra khi Mandiant thuộc sở hữu của Google đã trình bày chi tiết về một cửa hậu Android mới có tên LEMONJUICE được thiết kế để cho phép điều khiển từ xa và truy cập vào một thiết bị bị xâm nhập.
“Phần mềm độc hại có khả năng theo dõi vị trí thiết bị, ghi âm micrô, truy xuất danh sách liên hệ, truy cập nhật ký cuộc gọi, SMS, khay nhớ tạm và thông báo, xem các ứng dụng đã cài đặt, tải xuống và tải tệp lên, xem trạng thái kết nối và thực hiện các lệnh bổ sung từ máy chủ C2 “, nhà nghiên cứu Jared Wilson cho biết.
Trong một diễn biến liên quan, Doctor Web đã phát hiện ra hơn 100 ứng dụng chứa thành phần phần mềm gián điệp có tên SpinOk đã được tải xuống tổng cộng hơn 421 triệu lần thông qua Cửa hàng Google Play.
Mô-đun, được phân phối dưới dạng bộ công cụ phát triển phần mềm tiếp thị (SDK), được thiết kế để thu thập thông tin nhạy cảm được lưu trữ trong thiết bị, đồng thời sao chép và thay thế nội dung trong khay nhớ tạm.
Một số ứng dụng phổ biến nhất được phát hiện có chứa trojan SpinOk là Noizz, Zapya, VFly, MVBit, Biugo, Crazy Drop, Cashzine, Fizzo Novel, CashEM và Tick.
