Một trojan truy cập từ xa (RAT) tinh vi dành cho Android, được đặt tên là KomeX RAT, đã xuất hiện trên các diễn đàn hacker ngầm. Đối tượng đe dọa Gendirector đang tích cực tiếp thị mã độc này thông qua các mô hình đăng ký theo cấp độ, tạo ra một mối đe dọa mạng đáng kể đối với người dùng thiết bị di động.

KomeX RAT được xây dựng dựa trên nền tảng của BTMOB, một mã độc đã được ghi nhận và phân tích trước đây. Sự xuất hiện của biến thể mới này cho thấy sự phát triển liên tục của các công cụ tấn công trên nền tảng Android. Với khả năng mở rộng và chiến dịch quảng cáo mạnh mẽ trong cộng đồng tội phạm mạng, mã độc này đặt ra một nguy cơ nghiêm trọng.

Mô Hình Kinh Doanh Và Chiến Lược Phân Phối KomeX RAT

Gendirector đã áp dụng phương pháp đăng ký thương mại để tối đa hóa lợi nhuận khi phân phối KomeX RAT. Đây là một chiến lược phổ biến trong hệ sinh thái mã độc dưới dạng dịch vụ (MaaS). Mô hình này phản ánh các phương pháp phân phối phần mềm hợp pháp, nhưng lại được tận dụng để tạo điều kiện cho việc áp dụng rộng rãi trong giới tội phạm mạng.

Cấu trúc giá được phân chia rõ ràng thành ba cấp độ khác biệt, mỗi cấp độ phục vụ một phân khúc đối tượng tấn công cụ thể:

• Đăng ký hàng tháng: 500 USD. Mức giá này giúp các đối tượng thử nghiệm hoặc có ngân sách ngắn hạn dễ dàng tiếp cận.
• Giấy phép trọn đời: 1.200 USD. Tùy chọn này đặc biệt hấp dẫn, giúp giảm rào cản gia nhập cho các đối tượng đe dọa có ngân sách hạn chế. Nó cho phép các hoạt động tội phạm quy mô nhỏ hơn truy cập vào khả năng mã độc cấp doanh nghiệp mà không cần chi phí duy trì định kỳ.
• Mã nguồn hoàn chỉnh: 3.000 USD. Cung cấp mã nguồn cho phép những kẻ tấn công có kiến thức kỹ thuật tùy chỉnh, phát triển thêm hoặc tích hợp KomeX RAT vào các bộ công cụ tấn công phức tạp hơn.

Mô hình cấp phép trọn đời giúp dân chủ hóa quyền truy cập vào các công cụ tấn công tiên tiến. Điều này tiềm ẩn nguy cơ làm tăng tần suất và số lượng các cuộc tấn công nhắm mục tiêu vào Android.

Khả Năng Xâm Nhập Và Giám Sát Toàn Diện của KomeX RAT

Bộ tính năng được quảng cáo của KomeX RAT cho thấy khả năng xâm phạm thiết bị toàn diện. Các khả năng này vượt xa các dịch vụ mã độc thông thường, biến nó thành một công cụ cực kỳ nguy hiểm.

Tự Động Cấp Quyền và Né Tránh Bảo Mật Nền Tảng

Mã độc tự động cấp tất cả các quyền cần thiết mà không cần bất kỳ thông báo nào cho người dùng. Điều này vô hiệu hóa kiểm soát bảo mật chính mà mô hình cấp phép của Android lẽ ra phải cung cấp. Người dùng không hề hay biết rằng thiết bị của họ đang bị kiểm soát.

Khả năng này hoạt động cùng với chức năng bypass Google Play Protect, một trong những cơ chế phòng thủ chống mã độc chính của Android. Việc né tránh Google Play Protect giúp KomeX RAT duy trì sự ẩn mình và hoạt động liên tục trên thiết bị bị nhiễm, gây ra rủi ro bảo mật nghiêm trọng.

Tính Năng Giám Sát Tiên Tiến và Thu Thập Thông Tin

Khả năng giám sát của KomeX RAT đặc biệt đáng lo ngại đối với quyền riêng tư của người dùng. Nó cung cấp tính năng truyền trực tiếp màn hình với tốc độ khung hình lên tới 60 fps. Điều này cho phép các đối tượng đe dọa theo dõi hoạt động của nạn nhân theo thời gian thực với độ chi tiết cao, như thể đang trực tiếp sử dụng thiết bị.

Ngoài ra, mã độc có thể tự độc lập ghi lại từ camera và micro của thiết bị. Khả năng này cung cấp cho kẻ tấn công quyền truy cập giám sát âm thanh và video toàn diện. Những tính năng này nâng tầm KomeX RAT lên ngang hàng với các công cụ phần mềm gián điệp tiên tiến do nhà nước tài trợ, mặc dù nó được tiếp thị thương mại cho các tội phạm mạng.

Truy Cập Dữ Liệu Nhạy Cảm và Kiểm Soát Giao Tiếp

Bên cạnh việc giám sát trực tiếp, mã độc này còn cung cấp quyền truy cập rộng rãi vào các thông tin liên lạc nhạy cảm và dữ liệu cá nhân. Trojan có khả năng đọc, gửi và xóa tin nhắn SMS. Điều này tiềm ẩn nguy cơ cho phép kẻ tấn công bỏ qua các cơ chế xác thực hai yếu tố (2FA) dựa vào tin nhắn SMS, vốn là một lớp bảo mật quan trọng.

Tính năng xác định vị trí địa lý với tích hợp hiển thị bản đồ cho phép theo dõi vị trí vật lý của các thiết bị bị nhiễm. Chức năng trò chuyện bắt buộc cho phép kẻ tấn công tương tác trực tiếp với nạn nhân. Điều này tạo điều kiện thuận lợi cho các chiến dịch tấn công phi kỹ thuật (social engineering) hoặc tống tiền.

Kiểm Soát Ứng Dụng, Hệ Thống Tệp và Cơ Chế Chống Gỡ Bỏ

KomeX RAT cung cấp quyền kiểm soát chi tiết đối với các ứng dụng đã cài đặt trên thiết bị. Nó cho phép các đối tượng đe dọa khởi động, dừng và gỡ cài đặt bất kỳ ứng dụng nào từ xa, từ đó thao túng trải nghiệm người dùng hoặc xóa các ứng dụng bảo mật.

Truy cập hệ thống tệp hoàn chỉnh kết hợp với khả năng keylogging cung cấp cho kẻ tấn công các công cụ thu hoạch dữ liệu toàn diện. Mọi thông tin nhạy cảm từ các tệp cá nhân đến mật khẩu được gõ đều có thể bị đánh cắp.

Đáng chú ý, KomeX RAT bao gồm các biện pháp bảo vệ chống gỡ cài đặt. Nó còn có tính năng mô phỏng cửa sổ gỡ bỏ giả. Điều này được thiết kế để ngăn người dùng dễ dàng loại bỏ mã độc và che giấu sự hiện diện của lây nhiễm, khiến việc phát hiện và làm sạch trở nên khó khăn hơn.

Đánh Giá Tác Động và Khuyến Nghị Về An Toàn Thông Tin

Sự xuất hiện của KomeX RAT phản ánh sự tinh vi không ngừng của hệ sinh thái mã độc thương mại dưới dạng dịch vụ (MaaS). Các công cụ như KomeX RAT đang ngày càng dễ tiếp cận, hạ thấp rào cản kỹ thuật cho những kẻ tấn công tiềm năng.

Bằng cách tận dụng mã BTMOB hiện có và triển khai phân phối dựa trên đăng ký, Gendirector đã tạo ra một nền tảng phân phối mối đe dọa có khả năng mở rộng. Điều này không chỉ tăng khả năng lây nhiễm mà còn đa dạng hóa các cuộc tấn công.

Điều quan trọng cần lưu ý là tất cả các khả năng được quảng cáo là tuyên bố của người bán và chưa được các nhà nghiên cứu bảo mật xác minh độc lập vào thời điểm này. Chức năng thực tế có thể khác với tài liệu tiếp thị. Những tuyên bố này nên được coi là chưa được xác thực cho đến khi phân tích toàn diện của các nhà nghiên cứu bảo mật xác nhận khả năng thực sự của trojan. Thông tin thêm về các tính năng quảng cáo có thể tìm thấy tại KrakenLabs Team X.

Để tăng cường an toàn thông tin cho thiết bị di động của mình, các tổ chức và người dùng cá nhân nên thực hiện các biện pháp bảo mật toàn diện. Các biện pháp này bao gồm:

• Thường xuyên quét thiết bị bằng phần mềm bảo mật đã cập nhật và đáng tin cậy.
• Cài đặt ứng dụng thận trọng, chỉ tải từ các nguồn chính thức và kiểm tra kỹ các quyền mà ứng dụng yêu cầu.
• Luôn cập nhật hệ điều hành và các ứng dụng để vá các lỗ hổng CVE đã biết.
• Sử dụng xác thực hai yếu tố (2FA) không chỉ dựa vào SMS, mà ưu tiên các phương pháp an toàn hơn như ứng dụng xác thực.
• Thực hiện sao lưu dữ liệu thường xuyên để giảm thiểu thiệt hại trong trường hợp bị tấn công.

Nâng cao nhận thức về các mối đe dọa mạng như KomeX RAT là bước đầu tiên để bảo vệ bản thân và tổ chức khỏi các cuộc tấn công ngày càng tinh vi.