Buzz
- 'Ratel RAT', một phần mềm độc hại nguồn mở, đang được sử dụng rộng rãi để tấn công các thiết bị cũ, một số trong đó nhắm đến việc lây nhiễm ransomware.
Nhóm nghiên cứu của Antonis Terefos và Bohdan Melnykov tại Check Point cho biết họ đã phát hiện ra hơn 120 chiến dịch sử dụng phần mềm độc hại Ratel RAT. Các cuộc tấn công này nhắm vào các tổ chức cấp cao, bao gồm cả chính phủ và khu vực quân sự, với hầu hết nạn nhân đến từ Mỹ, Trung Quốc và Indonesia.
Trong hầu hết các trường hợp được kiểm tra bởi Check Point, các nạn nhân sử dụng các phiên bản Android đã lỗi thời (EoL), không nhận được các bản cập nhật bảo mật, từ đó dễ dàng bị tấn công qua các lỗ hổng đã biết. Hơn 87,5% các thiết bị chạy Android phiên bản dưới 11, chỉ có 12,5% thiết bị chạy Android 12 hoặc 13 bị nhiễm.
Các thương hiệu và mẫu điện thoại bị tấn công bao gồm Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One và các thiết bị của OnePlus, Vivo và Huawei.
Cuộc tấn công RAT Ratel
Ratel RAT lây nhiễm thông qua nhiều phương thức khác nhau, phổ biến nhất là lợi dụng các thương hiệu nổi tiếng như Instagram, WhatsApp, các nền tảng thương mại điện tử hoặc các ứng dụng chống vi-rút để đánh lừa người dùng tải xuống APK có chứa mã độc.
Trong quá trình cài đặt, ứng dụng yêu cầu quyền truy cập vào các tính năng rủi ro, bao gồm việc loại trừ khỏi việc tối ưu hóa pin, để có thể hoạt động âm thầm khi chạy ở chế độ nền.
Phần mềm độc hại cung cấp các lệnh khác nhau tùy thuộc vào từng biến thể, thường bao gồm các lệnh sau đây:
Có một số lệnh đáng chú ý như sau:
- Ransomware: Bắt đầu quá trình mã hóa các tệp trên thiết bị.
- Wipe: Xóa tất cả các tệp theo đường dẫn được chỉ định.
- LockTheScreen: Khóa màn hình thiết bị, làm cho thiết bị không thể sử dụng được.
- Sms_oku: Trích xuất tất cả tin nhắn SMS (và mã 2FA) và gửi đến máy chủ điều khiển của cuộc tấn công (C2).
- Location_tracker: Thu thập và gửi vị trí của thiết bị trực tiếp đến máy chủ C2.
Các hành động được điều khiển từ bảng điều khiển trung tâm, cho phép các đội ngũ tấn công truy cập vào thông tin trạng thái và thiết bị, đồng thời quyết định các bước tấn công tiếp theo.
Theo phân tích của Check Point, khoảng 10% các trường hợp đã thực hiện lệnh ransomware.
Cuộc tấn công ransomware
Mô-đun ransomware trong Ratel RAT được phát triển để thực hiện các hành động tống tiền bằng cách chiếm quyền kiểm soát thiết bị và mã hóa các tệp của nạn nhân. Nếu quyền quản trị (DeviceAdmin) được cấp trên thiết bị, ransomware có thể kiểm soát các chức năng quan trọng như thay đổi mật khẩu màn hình khóa và hiển thị thông báo yêu cầu tiền chuộc trên màn hình.
Nếu người dùng cố gắng thu hồi quyền quản trị, ransomware có thể đáp ứng bằng cách thay đổi mật khẩu và khóa màn hình ngay lập tức.
Các nhà nghiên cứu của Check Point đã quan sát thấy một số hoạt động ransomware liên quan đến Ratel RAT, bao gồm một cuộc tấn công từ Iran đã thực hiện hoạt động do thám mạng bằng các tính năng khác của Ratel RAT trước khi triển khai mô-đun mã hóa.
Để ngăn chặn những cuộc tấn công này, hãy tránh tải xuống các file APK từ các nguồn không tin cậy, không nhấp vào các liên kết trong email hoặc tin nhắn mà bạn nghi ngờ, và luôn quét ứng dụng bằng Play Protect trước khi cài đặt chúng.
