Phát hiện phần mềm gián điệp Xsser mRAT trên iOS

Được mệnh danh là Xsser mRAT (Trojan truy cập từ xa vào các điện thoại di động), Trojan truy cập từ xa đến nền tảng iOS mới được các nhà nghiên cứu phát hiện được lưu trữ trên một máy chủ sử dụng để phán tán phần mềm gián điệp Android tới những người biểu tình ở Hồng Kông.

Chuyên gia bảo mật không biết một cuộc tấn công với Xsser sẽ được thực hiện như thế nào, nhưng bằng cách phân tích mối đe dọa, họ phát hiện ra rằng đó là một Trojan truy cập từ xa đặc biệt cho các thiết bị iOS đã jailbreak.

Xsser mRAT đánh cắp nhiều thông tin

Lacoon Mobile Security gặp phải mối đe dọa trong khi điều tra việc phát tán phần mềm gián điệp Android trong số những người biểu tình Hong Kong. Mối đe dọa xuất hiện như một ứng dụng có nội dung được thiết kế để điều phối cuộc biểu tình, thông qua một liên kết trong tin nhắn nặc danh Whatsapp.

Sau khi điều tra nguồn gốc của các phần mềm độc hại, các nhà nghiên cứu phát hiện ra rằng máy chủ điều khiển đặt lệnh và kiểm soát (C&C) lưu trữ một kho Cydia cho một Trojan iOS; Cydia cho phép cài đặt các gói phần mềm trên các thiết bị iOS jailbreak.

Xem xét kỹ hơn cho thấy phần mềm độc hại có thể moi được các thông tin nhạy cảm khác nhau từ các điện thoại bị ảnh hưởng. Bao gồm danh bạ, tin nhắn văn bản, nhật ký cuộc gọi, dữ liệu hệ điều hành, thông tin vị trí dựa trên cell ID, cũng như mật khẩu đều có thể bị đánh cắp bởi những kẻ khai thác. Dữ liệu xác thực khác, chẳng hạn keychains (hệ thống quản lý mật khẩu) được sử dụng bởi AppleID, email và các ứng dụng khác từ Apple, cũng là mục tiêu.

Theo Lacoon, Xsser mRAT có thể chạy ngay lập tức sau khi khởi động và có thể tự động cập nhật, tải về các nguồn mới nhất khi cần thiết.

Các thông tin ban đầu gửi đến các máy chủ C&C bao gồm các phiên bản của hệ điều hành, địa chỉ MAC, phiên bản thiết bị, mã IMSI và mã IMEI và số điện thoại của nạn nhân. Chỉ sau khi các chi tiết này được gửi đi, phần mềm độc hại nhận lệnh để ăn cắp dữ liệu nói trên từ máy chủ.

Chính phủ Trung Quốc bị nghi ngờ

Trong một bài viết trên blog công ty, Ohad Bobrov, đồng sáng lập và Giám đốc công nghệ của Lacoon, cho rằng các hoạt động mạng có thể được khởi xướng bởi chính phủ Trung Quốc. “Tấn công đa nền tảng nhắm mục tiêu vào cả các thiết bị iOS và Android là rất hiếm và chỉ ra rằng điều này có thể được tiến hành bởi một tổ chức rất lớn hay một quốc gia. Thực tế là cuộc tấn công này đang được sử dụng để chống lại những người biểu tình và được thực hiện bởi những kẻ tấn công nói tiếng Trung Quốc cho thấy trojan iOS đầu tiên liên quan đến hoạt động mạng của chính phủ Trung Quốc”.

Các tính năng của phần mềm độc hại cũng làm sáng tỏ hơn giả thiết này, vì nó là Trojan Trung Quốc hoạt động đầy đủ đầu tiên hướng tới iOS được phát hiện cho đến nay.

Nó có thể bị lợi dụng để chống lại những người biểu tình, nhưng việc sử dụng nó có thể đi xa hơn. Bobrov lưu ý rằng nó có thể được sử dụng trong các hoạt động tình báo mạng để theo dõi các công ty hoặc các mục tiêu quan trọng.

Softpedia