Một Android RAT (Remote Access Trojan) mới có tên mã “Most Powerful (FUD Android RAT) 2025” đã xuất hiện trên GitHub, cam kết khả năng tàng hình chưa từng có và bộ tính năng độc hại toàn diện mà không yêu cầu máy tính cá nhân cho hoạt động điều khiển. Được lưu trữ tại kho lưu trữ Huckel789/Android-RAT, mã độc Android này được thiết kế để né tránh vĩnh viễn sự phát hiện của phần mềm diệt virus.

Kiến trúc và Khả năng Tàng hình của Android RAT

Android RAT này khác biệt hoàn toàn bằng cách loại bỏ yêu cầu truyền thống về một máy tính để bàn hoặc máy tính xách tay trong chuỗi tấn công. Các tác nhân có thể quản lý các thiết bị bị xâm nhập thông qua bất kỳ trình duyệt hiện đại nào trên Android, Linux, hoặc Windows.

Cơ chế hoạt động và Điều khiển từ xa

Bảng điều khiển dựa trên web kết nối trực tiếp với các thiết bị bị nhiễm, cho phép giám sát và điều khiển theo thời gian thực. Cơ chế phân phối payload của Android RAT này lợi dụng các ứng dụng hợp pháp để tự cài đặt một cách liền mạch.

Quá trình này không để lại dấu vết địa chỉ IP hoặc cổng trong mã đã được dịch ngược, giúp giảm thiểu đáng kể khả năng bị phát hiện thông qua phân tích mã tĩnh.

Bảo mật giao tiếp và Né tránh phát hiện

Các phương pháp mã hóa tiên tiến, bao gồm AES-128-CBC với PKCS padding, đảm bảo rằng giao tiếp giữa thiết bị bị xâm nhập và máy chủ C2C (Command-and-Control) không thể giải mã và chống lại việc phân tích lưu lượng.

Các nhà thiết kế của Android RAT nhấn mạnh phương pháp “True Zero Detect” của nó. Mã độc này vĩnh viễn né tránh tất cả các phần mềm diệt virus và quét VirusTotal, không giống như các RAT khác chỉ dựa vào kỹ thuật xáo trộn đơn giản.

Tính năng chống giả lập và chống máy ảo độc quyền của nó đảm bảo chỉ hoạt động trên phần cứng vật lý, ngăn chặn phân tích trong sandbox. Không giống như nhiều chủng mã độc, Android RAT này không bị ảnh hưởng bởi các chế độ tiết kiệm pin cực cao hoặc cài đặt tăng cường điển hình của các ROM tùy chỉnh của Trung Quốc.

Bộ Tính năng Khai thác Đa dạng của Mã độc Android

Được thiết kế để linh hoạt tối đa, mã độc Android này sở hữu một loạt các chức năng mở rộng, vốn thường được phân tán trên nhiều công cụ khác nhau. Nó có thể vượt qua các hạn chế của MIUI và các ROM Trung Quốc khác, như tối ưu hóa tự khởi động và tắt ứng dụng chạy nền, để đảm bảo thực thi không bị gián đoạn.

Khi cài đặt, Android RAT tự động cấp tất cả các quyền, ẩn biểu tượng của nó và tiêm một dropper vào các APK hợp pháp. Một khi được triển khai, nó vẫn hoàn toàn bền bỉ, tiêu thụ RAM, pin và tài nguyên mạng tối thiểu, và tránh tạo ra các kết nối nền đáng ngờ.

Giám sát và Thu thập Thông tin

• Ghi âm cuộc gọi, chặn và gửi tin nhắn SMS (bao gồm SMS hàng loạt và OTP).
• Đánh cắp thông tin đăng nhập từ ứng dụng ngân hàng và ví tiền điện tử.
• Ghi lại thao tác gõ phím và mã 2FA, cả offline và online.

Truy cập hệ thống tệp bao gồm liệt kê, tải xuống và xóa tệp và thư mục. Chức năng đa phương tiện bao gồm chụp ảnh, quay video và ghi âm trực tiếp, cũng như ghi lại màn hình. Theo dõi vị trí cung cấp tọa độ GPS thời gian thực chính xác. Nguồn cấp dữ liệu camera trực tiếp từ cả camera trước và sau có thể được truyền trực tiếp đến kẻ tấn công.

Tính năng Tống tiền và Khóa thiết bị

Chức năng ransomware được tích hợp sẵn, cho phép các tác nhân mã hóa các tệp của nạn nhân bằng các ghi chú tùy chỉnh và hiển thị các thông báo tống tiền riêng biệt. Các mô-đun mạnh mẽ bổ sung bao gồm quay số USSD, thông báo toast, và khả năng làm sập các ứng dụng bảo mật hoặc ngân hàng bằng các hộp thoại giả mạo.

Điều này khóa người dùng khỏi thiết bị của chính họ. Một “Chế độ Đóng băng” đặc biệt giới hạn truyền dữ liệu chỉ còn 1-3 MB mỗi ngày, đảm bảo thực thi lệnh nhanh chóng với mức sử dụng băng thông tối thiểu.

Tấn công Nhằm vào Dữ liệu Nhạy cảm

Android RAT này hỗ trợ “SCM Phishing” bằng cách gửi các thông báo tùy chỉnh mô phỏng các ứng dụng hợp pháp, bao gồm ngân hàng, tiền điện tử hoặc nền tảng nhắn tin, lôi kéo nạn nhân vào các màn hình đăng nhập giả mạo. Nó cũng có thể chặn nội dung clipboard để thu thập các địa chỉ tiền điện tử đã sao chép trước khi thay thế chúng bằng ví của kẻ tấn công.

Đối với việc đánh cắp thông tin đăng nhập, nó nhắm mục tiêu vào các công cụ 2FA lớn như Google Authenticator, Microsoft Authenticator, 2FAS và LastPass, thu thập mã trực tiếp bất cứ khi nào chúng được tạo.

Thách thức đối với An ninh mạng và Bảo mật Di động

Sự sẵn có công khai của một Android RAT tiên tiến, FUD như vậy đặt ra những lo ngại sâu sắc cho bảo mật mạng di động. Sự kết hợp của quyền truy cập từ xa, gián điệp, đánh cắp dữ liệu và chức năng ransomware trong một gói duy nhất làm giảm đáng kể rào cản gia nhập cho tội phạm mạng.

Ảnh hưởng đến Hệ thống Phòng thủ Hiện tại

Google Play Protect và các giải pháp quản lý di động doanh nghiệp có thể gặp khó khăn trong việc phát hiện hoặc ngăn chặn một đối thủ được trang bị các kỹ thuật tàng hình này. Các chuyên gia an ninh phải tăng cường hệ thống phòng thủ di động, thực thi việc kiểm duyệt ứng dụng nghiêm ngặt và giám sát hành vi mạng để phát hiện các kênh C2C bí mật.

Hành động Khuyến nghị và Phòng ngừa

Là một biện pháp trách nhiệm, các nhà nghiên cứu an ninh mạng nên phân tích codebase của Android RAT trong các môi trường cô lập để phát triển các chữ ký phát hiện và chiến lược giảm thiểu. Sự hợp tác giữa các nhóm ứng phó sự cố, các nhà cung cấp bảo mật di động và các cơ quan thực thi pháp luật sẽ là điều cần thiết để chống lại các mối đe dọa do khung RAT tất cả trong một này gây ra.