Forbes đưa tin, một nền tảng phần mềm gián điệp di động mới đang được rao bán công khai trên Telegram, cho phép tin tặc ở mọi trình độ nhắm mục tiêu vào người dùng iOS và Android bằng mã độc có mức độ tinh vi cao.
Nền tảng này, có tên ZeroDayRAT, được các nhà nghiên cứu của công ty bảo mật di động iVerify phát hiện và ghi nhận lần đầu vào ngày 2/2.
Theo các chuyên gia, ZeroDayRAT được thiết kế theo mô hình “phần mềm gián điệp như một dịch vụ”, tích hợp sẵn nhiều khả năng tấn công, giúp ngay cả những đối tượng không có chuyên môn kỹ thuật sâu cũng có thể triển khai hoạt động giám sát
Ảnh minh họa
Daniel Kelley, nhà nghiên cứu mối đe dọa tại iVerify, cho biết nhà phát triển ZeroDayRAT vận hành các kênh riêng biệt cho hoạt động bán hàng, hỗ trợ khách hàng và cập nhật phần mềm. Người mua được cung cấp một điểm truy cập duy nhất vào bảng điều khiển điều khiển phần mềm gián điệp với đầy đủ chức năng.
Bảng điều khiển này cho phép kiểm soát từ xa hoàn toàn các thiết bị Android và iOS bị lây nhiễm, hỗ trợ Android từ phiên bản 5 đến 16 và iOS lên đến phiên bản 26, bao gồm cả các mẫu iPhone mới nhất.
Thông tin được công bố trong bối cảnh Apple vừa vá một lỗ hổng nghiêm trọng trong iOS 26.3, được cho là đã bị khai thác để phát tán phần mềm gián điệp trong một chuỗi tấn công quy mô lớn hơn.
Cách ZeroDayRAT lây nhiễm thiết bị di động
Để xâm nhập vào điện thoại thông minh, kẻ tấn công cần đưa một tệp nhị phân độc hại lên thiết bị, dưới dạng tệp APK đối với Android hoặc mã độc tương ứng với iOS. Trên thực tế, quá trình này không quá phức tạp.
Theo Kelley, phương thức lây nhiễm phổ biến nhất là thông qua tin nhắn lừa đảo (smishing). Nạn nhân nhận được một đường dẫn, tải xuống ứng dụng có vẻ hợp pháp và tự cài đặt. Các hình thức khác như email lừa đảo, cửa hàng ứng dụng giả mạo hoặc liên kết chia sẻ qua WhatsApp và Telegram cũng mang lại hiệu quả tương tự.
Sau khi thiết bị bị xâm nhập, tab tổng quan là giao diện đầu tiên hiện ra với người vận hành. Tại đây, toàn bộ thông tin quan trọng của nạn nhân được hiển thị trên một màn hình, bao gồm kiểu máy, hệ điều hành, mức pin, quốc gia, trạng thái khóa, dữ liệu SIM và nhà mạng, số điện thoại hai SIM, lịch sử sử dụng ứng dụng, dòng thời gian hoạt động theo thời gian thực và bản xem trước các tin nhắn SMS gần nhất.
Chỉ riêng màn hình này đã đủ để lập hồ sơ chi tiết về người dùng bị nhiễm, từ thói quen liên lạc, ứng dụng thường sử dụng, khung giờ hoạt động cho đến mạng viễn thông đang kết nối. Khi cuộn xuống, người vận hành còn có thể xem các tin nhắn bị chặn từ ngân hàng, nhà mạng và các liên hệ cá nhân.
Ngoài phần tổng quan, mỗi luồng dữ liệu đều được phân tách thành các tab riêng. Dữ liệu GPS được trích xuất và hiển thị trực tiếp trên bản đồ Google Maps tích hợp, kèm theo lịch sử di chuyển, cho phép theo dõi không chỉ vị trí hiện tại mà cả những nơi nạn nhân từng lui tới.
ZeroDayRAT có thể được xem là “một bộ công cụ tấn công di động hoàn chỉnh”. Ảnh minh họa
Các thông báo cũng được thu thập riêng lẻ, bao gồm tin nhắn WhatsApp, thông báo Instagram, cuộc gọi nhỡ, cập nhật Telegram, cảnh báo YouTube và các sự kiện hệ thống. Theo Kelley, kẻ tấn công có thể theo dõi gần như mọi hoạt động trên điện thoại một cách thụ động, mà không cần mở bất kỳ ứng dụng nào.
Một trong những phần đáng lo ngại nhất là tab tài khoản, nơi liệt kê toàn bộ tài khoản đã đăng ký trên thiết bị, kèm theo tên người dùng hoặc địa chỉ email. Đây được xem là dữ liệu then chốt để chiếm đoạt tài khoản hoặc thực hiện các cuộc tấn công kỹ thuật xã hội có chủ đích.
Tab giám sát cho phép truy cập vật lý theo thời gian thực, bao gồm phát trực tiếp camera, ghi màn hình và ghi âm. Khi kết hợp với dữ liệu GPS, kẻ điều khiển có thể đồng thời theo dõi, nghe lén và định vị mục tiêu.
Bên cạnh đó, ZeroDayRAT còn tích hợp chức năng ghi lại thao tác bàn phím (keylogger), thu thập toàn bộ dữ liệu nhập liệu kèm theo ngữ cảnh ứng dụng và dấu thời gian chính xác đến từng mili giây. Bản xem trước màn hình trực tiếp được hiển thị song song, giúp kẻ tấn công vừa quan sát hành vi vừa nắm bắt nội dung người dùng đang nhập.
Đặc biệt, tab “stealer” cho phép thực hiện hành vi trộm cắp tài chính trực tiếp. Một mô-đun riêng nhắm vào các ứng dụng ngân hàng trực tuyến, nền tảng thanh toán UPI như PhonePe, Google Pay, cũng như các dịch vụ Apple Pay và PayPal.
Theo Kelley, ZeroDayRAT có thể được xem là “một bộ công cụ tấn công di động hoàn chỉnh”. Những khả năng từng đòi hỏi nguồn lực cấp nhà nước hoặc công cụ khai thác chuyên biệt nay đã được rao bán công khai. Chỉ với một tài khoản truy cập, người mua có thể kiểm soát vị trí, tin nhắn, tài chính, camera, micro và thao tác bàn phím của mục tiêu ngay trên một trình duyệt web.
Các chuyên gia cảnh báo, khả năng hỗ trợ đa nền tảng cùng tốc độ phát triển nhanh chóng của ZeroDayRAT đang khiến mối đe dọa này ngày càng nghiêm trọng đối với cả cá nhân lẫn tổ chức.
Sự xuất hiện của ZeroDayRAT cho thấy bất kỳ ai cũng có thể trở thành mục tiêu. Để giảm thiểu rủi ro, người dùng cần duy trì các biện pháp bảo mật cơ bản, đặc biệt là cài đặt đầy đủ các bản cập nhật hệ điều hành iOS và Android nhằm vá các lỗ hổng bảo mật.
Một số dấu hiệu cho thấy thiết bị có thể đã bị xâm nhập bao gồm pin hao hụt nhanh bất thường hoặc điện thoại nóng lên trong quá trình sử dụng. Người dùng có thể tạm thời vô hiệu hóa phần mềm gián điệp bằng cách khởi động lại thiết bị, tuy nhiên các chuyên gia khuyến cáo trong trường hợp nghi ngờ nghiêm trọng, nên ngừng sử dụng điện thoại hoàn toàn và tìm đến hỗ trợ kỹ thuật chuyên nghiệp.
