Mirax Android RAT: Điện Thoại Của Bạn Có Thể Đang Bị Dùng Làm Proxy

Một Phần Mềm Độc Hại Android Mới Đang Sử Dụng Điện Thoại Của Bạn Làm Proxy

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một mối đe dọa mới tinh vi có tên Mirax Android RAT, một Trojan Truy Cập Từ Xa đã âm thầm lan rộng đến hơn 220.000 người dùng thông qua các quảng cáo được phân phối trên các nền tảng Meta bao gồm Facebook và Instagram. Điều khiến Mirax đặc biệt đáng chú ý không chỉ nằm ở quy mô của nó, mà còn ở những gì nó thực hiện sau khi được cài đặt: nó biến các thiết bị Android bị nhiễm thành các nút trong mạng proxy SOCKS5, thực chất là biến những chiếc điện thoại thông thường thành công cụ để định tuyến lưu lượng internet của tội phạm.

Nếu bạn từng nhấp vào một quảng cáo trên điện thoại và được yêu cầu cài đặt một ứng dụng ngoài Cửa hàng Google Play chính thức, thì mối đe dọa này hoàn toàn liên quan đến bạn.

SOCKS5 Proxy Botnet Là Gì Và Tại Sao Tội Phạm Xây Dựng Chúng?

Để hiểu tại sao Mirax lại nguy hiểm, cần phải hiểu SOCKS5 proxy là gì và tại sao chúng có giá trị đối với tội phạm mạng.

Proxy SOCKS5 là một loại relay internet định tuyến lưu lượng mạng qua một thiết bị trung gian. Cũng có những mục đích sử dụng hợp pháp: các doanh nghiệp dùng proxy để quản lý mạng, và những người dùng quan tâm đến quyền riêng tư đôi khi định tuyến lưu lượng qua các máy chủ đáng tin cậy để che giấu địa chỉ IP của họ. SOCKS5 linh hoạt và nhanh chóng, khiến nó hấp dẫn cho cả mục đích hợp pháp lẫn độc hại.

Tuy nhiên, tội phạm đặc biệt coi trọng mạng lưới proxy vì một lý do cụ thể: tính ẩn danh. Khi kẻ tấn công định tuyến hoạt động của chúng qua hàng nghìn điện thoại thông minh bị xâm phạm, vị trí và danh tính thực sự của chúng gần như không thể bị truy tìm. Mỗi thiết bị bị nhiễm đóng vai trò như một bàn đạp. Các nhà điều tra theo dõi dấu vết của một cuộc tấn công mạng có thể sẽ chỉ tới điện thoại của một người vô tội ở một quốc gia khác thay vì kẻ tấn công thực sự.

Đây cũng là lý do tại sao các mạng proxy dựa trên botnet có giá trị thương mại trong các thị trường tội phạm. Những người vận hành có thể cho thuê quyền truy cập vào các mạng này, cung cấp cho các đối tượng xấu khác một nhóm địa chỉ IP dân dụng phân tán, liên tục được làm mới, có vẻ hợp pháp hơn nhiều so với các máy chủ trung tâm dữ liệu thường bị các hệ thống bảo mật gắn cờ.

Mirax RAT có vẻ được thiết kế để xây dựng chính xác loại cơ sở hạ tầng này, trong khi đồng thời đánh cắp dữ liệu cá nhân từ các thiết bị bị nhiễm.

Cách Mirax Lây Lan Qua Quảng Cáo Trên Meta

Cơ chế phân phối của Mirax đáng được xem xét kỹ lưỡng vì nó khai thác thứ mà hầu hết người dùng đã trở nên quen thuộc: quảng cáo trên mạng xã hội.

Các nhà nghiên cứu phát hiện ra rằng Mirax đã tiếp cận hơn 220.000 nạn nhân thông qua các quảng cáo độc hại chạy trên các nền tảng Meta. Những quảng cáo này có thể đã hướng người dùng tải xuống các ứng dụng ngoài các cửa hàng ứng dụng chính thức, một kỹ thuật được gọi là sideloading. Kiến trúc mở của Android cho phép người dùng cài đặt ứng dụng từ các nguồn bên thứ ba, đây là tính năng mà những kẻ phân phối phần mềm độc hại liên tục khai thác.

Việc sử dụng quảng cáo trả phí để phân phối phần mềm độc hại phản ánh một sự thay đổi rộng lớn hơn trong cách tội phạm mạng hoạt động. Thay vì chỉ dựa vào email lừa đảo hoặc các trang web bị xâm phạm, các tác nhân đe dọa hiện đang đầu tư vào cơ sở hạ tầng quảng cáo hợp pháp để tiếp cận lượng lớn khán giả một cách nhanh chóng và thuyết phục. Một quảng cáo được thiết kế khéo léo có thể trông đáng tin cậy, đặc biệt khi nó xuất hiện cùng với nội dung từ bạn bè và gia đình.

Meta có các hệ thống để phát hiện và xóa các quảng cáo độc hại, nhưng quy mô của nền tảng quảng cáo của họ có nghĩa là một số chiến dịch chắc chắn lọt qua trước khi bị phát hiện.

Điều Này Có Ý Nghĩa Gì Đối Với Bạn

Nếu bạn sử dụng thiết bị Android và thường xuyên tương tác với các quảng cáo trên mạng xã hội, chiến dịch Mirax là lời nhắc nhở trực tiếp về một số rủi ro thực tế.

Thứ nhất, thiết bị của bạn có thể bị xâm phạm mà bạn không hay biết và bị sử dụng để tạo điều kiện cho các hoạt động tội phạm. Việc trở thành một phần của botnet không nhất thiết gây ra các triệu chứng rõ ràng. Điện thoại của bạn có thể chạy hơi nóng hơn hoặc hao pin nhanh hơn, nhưng nhiều người dùng sẽ không nhận ra hoặc sẽ quy những dấu hiệu đó cho nguyên nhân khác.

Thứ hai, các mục tiêu mà mạng lưới proxy tội phạm phục vụ, cụ thể là che giấu lưu lượng truy cập và ẩn danh tính trực tuyến, cũng chính là những mục tiêu mà người tiêu dùng theo đuổi một cách hợp pháp thông qua VPN và các công cụ bảo mật. Sự khác biệt quan trọng nằm ở sự đồng ý và tính bảo mật. Một VPN hợp pháp định tuyến lưu lượng của chính bạn qua một máy chủ được mã hóa đáng tin cậy mà bạn đã chọn. Còn botnet định tuyến lưu lượng tội phạm của người khác qua thiết bị của bạn mà không có sự hiểu biết của bạn, khiến bạn có thể bị điều tra pháp lý và tiêu hao băng thông cùng dữ liệu của bạn.

Thứ ba, việc gặp quảng cáo cho các ứng dụng trên các nền tảng mạng xã hội không có nghĩa là những ứng dụng đó an toàn. Nguồn gốc của một quảng cáo không đảm bảo tính hợp pháp của thứ được quảng cáo.

Các Bước Thực Tế Để Bảo Vệ Thiết Bị Android Của Bạn

Bảo vệ bản thân khỏi các mối đe dọa như Mirax không đòi hỏi chuyên môn kỹ thuật, nhưng đòi hỏi những thói quen nhất quán.

• Chỉ cài đặt ứng dụng từ Cửa hàng Google Play. Tránh sideload các ứng dụng được thúc đẩy bởi quảng cáo, liên kết trong tin nhắn hoặc các trang web bên thứ ba, bất kể chúng trông có vẻ hợp pháp đến đâu.
• Xem xét cẩn thận các quyền của ứng dụng. Một ứng dụng đèn pin không cần quyền truy cập danh bạ của bạn hoặc khả năng chạy các dịch vụ mạng nền. Quyền truy cập quá mức là dấu hiệu cảnh báo.
• Cập nhật hệ điều hành và ứng dụng của bạn. Các bản vá bảo mật đóng lại các lỗ hổng mà phần mềm độc hại khai thác.
• Sử dụng phần mềm bảo mật di động có uy tín. Một số ứng dụng bảo mật được đánh giá cao có thể phát hiện các dòng phần mềm độc hại đã biết và gắn cờ các hành vi đáng ngờ.
• Hãy hoài nghi với các quảng cáo trên điện thoại thúc đẩy tải xuống ứng dụng. Nếu một quảng cáo đang thúc đẩy bạn cài đặt thứ gì đó, hãy xác minh ứng dụng đó qua các kênh chính thức trước khi tiến hành.
• Theo dõi mức sử dụng dữ liệu của bạn. Sự tăng vọt không giải thích được trong mức tiêu thụ dữ liệu nền có thể cho thấy thiết bị của bạn đang được sử dụng cho các mục đích bạn không cho phép.

Mirax Android RAT là ví dụ điển hình về cách các hoạt động tội phạm đã trưởng thành để khai thác những thói quen kỹ thuật số hàng ngày trên quy mô lớn. Hiểu cách thức hoạt động của các cuộc tấn công này là bước đầu tiên để đưa ra những lựa chọn giúp thiết bị, dữ liệu và kết nối internet của bạn thực sự là của riêng bạn.