ZeroDayRAT là một nền tảng spyware di động mới, được rao bán công khai qua Telegram. Hoạt động của nó được ghi nhận lần đầu vào ngày 2 tháng 2 năm 2026. Nền tảng này nhắm mục tiêu vào các thiết bị Android (từ phiên bản 5 đến 16) và iOS (lên đến phiên bản 26), cung cấp cho kẻ tấn công một công cụ đa nền tảng duy nhất.

Với sự phát triển nhanh chóng của thị trường spyware di động, các nhà nghiên cứu tại iVerify đã xác định được ZeroDayRAT trong quá trình đánh giá các công cụ “sẵn sàng hoạt động”. Công cụ này được thiết kế để người vận hành có thể điều khiển mà không cần kiến thức kỹ thuật chuyên sâu sau khi cài đặt thành công.

Tính Năng Giám Sát và Điều Khiển Của ZeroDayRAT

Từ một bảng điều khiển dựa trên trình duyệt, người vận hành ZeroDayRAT có khả năng giám sát và kiểm soát điện thoại bị nhiễm. Các tính năng chính bao gồm:

Thu Thập Dữ Liệu và Giám Sát Trực Tiếp

• Theo dõi GPS: Theo dõi vị trí địa lý của thiết bị mục tiêu.
• Chụp thông báo: Thu thập tất cả các thông báo hiển thị trên thiết bị.
• Truy cập SMS: Đọc tin nhắn SMS, bao gồm cả mã xác thực một lần (OTP), gây rủi ro cao về tấn công chiếm quyền điều khiển tài khoản.
• Camera và micro trực tiếp: Truy cập nguồn cấp dữ liệu trực tiếp từ camera và micro của thiết bị.
• Ghi lại màn hình: Quay lại toàn bộ hoạt động trên màn hình thiết bị.
• Ghi lại thao tác bàn phím (Keylogging): Ghi lại các phím được gõ, liên kết với ngữ cảnh ứng dụng cụ thể.

Tính Năng Đánh Cắp Thông Tin Nâng Cao

• Liệt kê tài khoản: Xem danh sách các tài khoản đã đăng ký trên thiết bị.
• Hoán đổi địa chỉ clipboard tiền điện tử: Tự động thay thế địa chỉ ví tiền điện tử được sao chép bằng địa chỉ của kẻ tấn công.
• Lớp phủ ngân hàng (Banking Overlays): Sử dụng các giao diện giả mạo ứng dụng ngân hàng để thu thập thông tin đăng nhập.

Các tính năng này cho phép kẻ tấn công thu thập thông tin cá nhân nhạy cảm, dữ liệu tài chính và thực hiện các hành vi gian lận trực tiếp.

Phương Thức Lây Nhiễm và Chuỗi Tấn Công ZeroDayRAT

Việc phân phối ZeroDayRAT thường dựa vào các kỹ thuật tấn công xã hội để lừa nạn nhân cài đặt mã độc. Một số phương thức phổ biến bao gồm:

Kỹ Thuật Phân Phối Mã Độc

• Smishing: Gửi tin nhắn văn bản (SMS) chứa liên kết dẫn đến trang tải xuống ứng dụng giả mạo.
• Phishing qua email: Gửi email lừa đảo chứa liên kết độc hại hoặc tệp đính kèm.
• Cửa hàng ứng dụng giả mạo: Phát tán ứng dụng độc hại thông qua các cửa hàng ứng dụng không chính thức.
• Chia sẻ liên kết qua chat: Gửi liên kết độc hại qua các ứng dụng chat như WhatsApp hoặc Telegram, dẫn đến việc tải xuống tệp APK của Android hoặc payload của iOS.

Một chuỗi lây nhiễm điển hình bắt đầu bằng một tin nhắn tạo cảm giác khẩn cấp, điều hướng mục tiêu đến một trang tải xuống có vẻ hợp pháp.

Quy Trình Xâm Nhập Sau Cài Đặt

Nếu người dùng cài đặt ứng dụng độc hại, implant của ZeroDayRAT sẽ báo cáo về bảng điều khiển của kẻ tấn công. Tại đây, kẻ tấn công có thể thực hiện các hành vi sau:

• Kéo lịch sử vị trí: Xem lại các địa điểm đã ghé thăm của nạn nhân.
• Đọc thông báo: Truy cập tất cả các thông báo nhận được trên thiết bị.
• Thu thập SMS: Bao gồm các cảnh báo ngân hàng và mã OTP.

Bảng điều khiển cung cấp cái nhìn tổng quan về thiết bị, bao gồm mẫu điện thoại, phiên bản hệ điều hành, trạng thái khóa, quốc gia và một dòng thời gian hoạt động trực tiếp. Điều này giúp kẻ tấn công đưa ra các quyết định nhắm mục tiêu nhanh chóng và hiệu quả hơn.

Rủi Ro và Biện Pháp Phòng Ngừa Trước Mã Độc Di Động ZeroDayRAT

Với khả năng hiển thị SMS, các mã xác thực hai yếu tố dựa trên SMS có thể bị lộ và lạm dụng, làm tăng đáng kể nguy cơ chiếm đoạt tài khoản và tổn thất tài chính trực tiếp. Do đó, việc bảo vệ thiết bị di động trở nên cực kỳ quan trọng.

Khuyến Nghị Cho Người Dùng Cá Nhân

Người dùng cần coi điện thoại di động như một điểm cuối (endpoint) quan trọng trong mạng lưới của mình. Để phòng tránh mã độc di động như ZeroDayRAT, hãy tuân thủ các nguyên tắc sau:

• Sử dụng cửa hàng ứng dụng chính thức: Chỉ tải xuống ứng dụng từ Google Play Store hoặc Apple App Store.
• Hạn chế cài đặt ứng dụng từ bên ngoài (sideloading): Tránh cài đặt ứng dụng từ các nguồn không xác định.
• Xác minh liên kết: Luôn kiểm tra kỹ các liên kết nhận được qua tin nhắn trước khi nhấp vào.
• Sử dụng MFA mạnh hơn SMS: Nơi có thể, hãy ưu tiên các phương pháp xác thực đa yếu tố (MFA) mạnh hơn SMS, chẳng hạn như ứng dụng xác thực (Authenticator app) hoặc khóa bảo mật vật lý.
• Thay đổi mật khẩu: Thay đổi mật khẩu định kỳ, đặc biệt là sau khi nghi ngờ bị lộ thông tin.
• Kiểm tra cảnh báo: Điều tra các yêu cầu cấp quyền đột ngột, pin hao nhanh bất thường hoặc sự xuất hiện của các dịch vụ trợ năng không xác định.

Biện Pháp Phòng Thủ Cho Tổ Chức

Các tổ chức cần có chiến lược toàn diện để bảo vệ hệ thống của mình khỏi các cuộc tấn công di động. Điều này bao gồm:

• Giám sát mối đe dọa di động: Triển khai các công cụ giám sát mối đe dọa di động (Mobile Threat Monitoring) để phát hiện hoạt động đáng ngờ.
• Quy trình xử lý sự cố rõ ràng: Xây dựng quy trình rõ ràng để phân loại và xử lý các trường hợp nghi ngờ spyware.
• Báo cáo nhanh chóng: Đảm bảo khả năng báo cáo và phản ứng nhanh chóng để hạn chế thiệt hại.

Việc áp dụng các biện pháp phòng ngừa này không chỉ bảo vệ cá nhân mà còn củng cố an ninh mạng di động tổng thể cho các tổ chức, giảm thiểu rủi ro từ các mối đe dọa như ZeroDayRAT.