Các nhà nghiên cứu cho rằng chiến dịch tấn công bằng MMRAT đã được triển khai từ cuối tháng 6-2023, nhắm mục tiêu vào người dùng ở Đông Nam Á.
Phần mềm độc hại được thiết kế để điều khiển từ xa thiết bị của nạn nhân thông qua nhiều kỹ thuật khác nhau, cho phép kẻ gian thực hiện hành vi lừa đảo ngân hàng, Trend Micro chia sẻ.
Điều khiến MMRat nổi bật hơn so với các loại khác là việc sử dụng giao thức ra lệnh và kiểm soát (C2) tùy chỉnh dựa trên bộ đệm giao thức (còn gọi là protobuf), điều này thể hiện sự tinh vi ngày càng tăng của phần mềm độc hại Android.
Trojan MMRAT được phát tán thông qua một mạng lưới các trang web lừa đảo, giả mạo ứng dụng của chính phủ hoặc ứng dụng hẹn hò.
Dựa vào các ngôn ngữ trên những trang web lừa đảo, nhiều khả năng phần mềm độc hại nhắm mục tiêu đến người dùng Indonesia, Việt Nam, Singapore và Philippines.
Sau khi được cài đặt, MMRAT sẽ lạm dụng dịch vụ trợ năng (Accessibility) của Android và MediaProjection API để thực hiện các hoạt động gian lận tài chính (tương tự như phần mềm độc hại SpyNote).
MMRat có thể thu thập nhiều loại dữ liệu và thông tin cá nhân của nạn nhân, bao gồm cường độ tín hiệu, trạng thái màn hình và số liệu thống kê về pin, ứng dụng đã cài đặt và danh bạ. Chưa dừng lại ở đó, phần mềm độc hại còn có khả năng ghi lại nội dung màn hình theo thời gian thực, chụp lại hình vẽ mở khóa để xâm nhập vào điện thoại từ xa.
Trend Micro cho biết: “Phần mềm độc hại MMRat lạm dụng dịch vụ trợ năng để điều khiển thiết bị của nạn nhân từ xa, thực hiện các hành động như cử chỉ, mở khóa màn hình và nhập văn bản, cùng nhiều hành động khác…”.
Sau khi xâm nhập và thực hiện cuộc tấn công thành công, kẻ gian sẽ gửi lệnh C2 UNINSTALL_APP để xóa MMRAT tự động, loại bỏ mọi dấu vết sau khi lây nhiễm.
Để giảm thiểu các mối đe dọa do phần mềm độc hại gây ra, người dùng chỉ nên tải xuống các ứng dụng từ những nguồn chính thức, đơn cử như Google Play hoặc App Store. Dù mọi thứ không thể an toàn 100% nhưng vẫn tốt hơn so với các cửa hàng bên ngoài.
Bên cạnh đó, bạn cũng nên kiểm tra kĩ quyền hạn của các ứng dụng sau khi cài đặt để hạn chế bị lạm quyền.