Một loại phần mềm độc hại mới có tên Crocodilus vừa bị các nhà nghiên cứu tại ThreatFabric phát hiện, với khả năng đánh cắp tài khoản ngân hàng, ví tiền điện tử và kiểm soát toàn bộ thiết bị Android mà người dùng không hề hay biết.
Ẩn mình dưới lớp vỏ là ứng dụng Google Chrome giả mạo, Crocodilus hoạt động như một “dropper” – loại mã độc chuyên vượt qua các lớp bảo mật trên Android 13 trở lên để cài thêm phần mềm độc hại từ xa. Khi được khởi chạy, ứng dụng sẽ yêu cầu người dùng cấp quyền truy cập dịch vụ trợ năng. Đây là bước mở đường cho Crocodilus theo dõi hoạt động của các ứng dụng tài chính, hiển thị lớp phủ HTML giả mạo để đánh cắp thông tin đăng nhập.
Không dừng lại ở đó, mã độc còn âm thầm ghi lại mọi thao tác trên màn hình, bao gồm cả mã xác thực hai lớp từ Google Authenticator – công cụ bảo mật được nhiều ngân hàng và ví điện tử sử dụng.
Đáng lo ngại, Crocodilus còn nhắm vào người dùng tiền điện tử bằng chiêu trò tinh vi. Thay vì giả dạng trang đăng nhập, nó hiển thị thông báo giả yêu cầu sao lưu "seed phrase" (cụm từ khóa cá nhân để khôi phục ví) trong vòng 12 giờ. Khi người dùng tự tay nhập cụm từ này, Crocodilus sẽ lập tức thu thập và gửi về máy chủ để kẻ tấn công chiếm quyền kiểm soát ví.
Theo ThreatFabric, mã độc này được trang bị hàng loạt khả năng nguy hiểm như:
- Theo dõi toàn bộ sự kiện trợ năng, đọc được mọi nội dung hiển thị trên màn hình.
- Hiển thị màn hình đen để che giấu hành vi độc hại.
- Tắt tiếng thiết bị, ngăn người dùng phát hiện bất thường.
- Gửi tin nhắn, lấy danh bạ, kiểm tra ứng dụng đã cài đặt.
- Tự động xin quyền quản trị thiết bị, tự biến mình thành ứng dụng SMS mặc định.
Mối đe dọa từ Crocodilus cho thấy tội phạm mạng ngày càng tinh vi và nguy hiểm, nhất là khi mã độc này có thể vượt qua các lớp bảo vệ mới nhất trên Android. Cùng thời điểm, công ty bảo mật Forcepoint cũng ghi nhận một chiến dịch lừa đảo quy mô lớn khác nhắm vào người dùng Windows tại Mexico, Argentina và Tây Ban Nha.
Người dùng Android cần tuyệt đối cẩn trọng khi tải ứng dụng từ nguồn không rõ ràng, luôn kiểm tra quyền truy cập mà ứng dụng yêu cầu, và nên cài phần mềm bảo mật uy tín để tự bảo vệ trước khi quá muộn.
Huỳnh Duy
