Các chuyên gia của hãng bảo mật Heimdal Security (Đan Mạch) đã phát hiện Mazar BOT Android malware, ngoài việc là một loại malware lạ, nó có thể được tăng quyền kiểm soát thiết bị do người dùng vô tình cung cấp cho nó. Điều này cho phép Mazar BOT có khả năng làm hầu như bất cứ điều gì với điện thoại của nạn nhân.
Malware này cũng có thể đọc tin nhắn SMS trên thiết bị, đồng nghĩa với việc nó có thể lấy được các mã xác thực được gửi tới thiết bị của người dùng từ các ứng dụng ngân hàng trực tuyến và các trang web thương mại điện tử (một phần của cơ chế xác thực thanh toán trực tuyến, chuyển khoản...)
Quá trình tấn công bắt đầu với một tin nhắn: "Bạn đã nhận được tin nhắn đa phương tiện từ + [Mã quốc gia] [số người gửi] Thực hiện theo các liên kết http: [.] //www.mmsforyou Mms.apk Net / để xem tin nhắn."
Sau đó, file apk trong link trên sẽ được chạy, đồng nghĩa với việc Mazar BOT sẽ chiếm được quyền quản trị cao nhất trên thiết bị của nạn nhân. APK này cũng tải TOR (phần mềm có chức năng xóa dấu vết, ẩn địa chỉ [IP] xuất xứ của máy truy cập Internet khi gửi/nhận thông tin qua mạng Internet) về và cài đặt nó trên điện thoại của nạn nhân. Sau đó sử dụng trình duyệt giấu tên để kết nối đến máy chủ kiểm soát.
Từ đó, những kẻ tấn công có thể làm bất kỳ điều gì, bao gồm cả thu thập dữ liệu, theo dõi địa điểm, theo dõi tin nhắn và các cuộc gọi, thậm chí xóa tất cả mọi thứ hoàn toàn khỏi điện thoại của nạn nhân. Những kẻ tấn công cũng có thể làm những việc như gửi tin nhắn SMS đến các số dự đoán trúng thưởng, tăng tiền hóa đơn điện thoại của nạn nhân.
Các chuyên gia của Heimdal lưu ý rằng, những kẻ tấn công đứng sau Mazar BOT cũng thực hiện các proxy Polipo, được sử dụng để lưu cache các trang web nhằm truy cập ngoại tuyến, thực hiện nhiều hoạt động khác. Thông qua proxy này, tội phạm mạng có thể thay đổi lịch sử giao thông của chủ nhân thiết bị và xen vào quá trình gửi nhận dữ liệu giữa điện thoại của nạn nhân và dịch vụ web theo dõi giao thông, đây là bước đệm cho phép thực hiện một cuộc tấn công man-in-the-middle.
Điều đáng chú ý là malware này không tấn công người Nga. Andra Zaharia, chuyên gia an ninh tại Heimdal Security, cho biết "Nhóm chúng tôi ngạc nhiên khi thấy rằng malware này không thể cài đặt trên điện thoại Android sử dụng tùy chọn ngôn ngữ tiếng Nga". Mazar BOT sẽ kiểm tra điện thoại để xác định quốc gia của nạn nhân và lập tức dừng tiến trình chạy ứng dụng độc hại nếu điện thoại bị tấn công được sở hữu bởi một người dùng Nga".
Hiện nay, Mazar BOT đã được rao bán trên một số trang web đen, đây là lần đầu tiên malware này được sử dụng trong các cuộc tấn công an ninh mạng. "Những kẻ tấn công khác có thể mua loại malware này để thử nghiệm loại hình tấn công của nó nhằm cải thiện phương pháp giúp đạt được mục tiêu cuối cùng của chúng. Chúng ta chỉ có thể chờ đợi loại malware này mở rộng phạm vi tấn công để hiểu hơn về nó, cũng vì khả năng của nó vẫn còn khá bí ẩn. Nguyên nhân là bởi nó sử dụng TOR để ẩn thông tin liên lạc của kẻ tấn công - sản phẩm do CIA tạo ra, nó hoàn hảo tới mức chính những người tạo ra nó cũng chưa có cách nào phá giải" Zaharia nói.