Người dùng Android đối mặt nguy cơ lừa đảo từ mã độc Crocodilus

Mang tên Crocodilus, loại trojan chuyên nhằm vào tài khoản ngân hàng này được phát hiện lần đầu vào tháng 3/2025 và hiện đã lan rộng từ Thổ Nhĩ Kỳ sang nhiều quốc gia khác như Mỹ, Tây Ban Nha, Ba Lan, Argentina, Brazil, Indonesia và Ấn Độ.

Crocodilus nhanh chóng được xếp vào nhóm những mối đe dọa nghiêm trọng nhất hiện nay đối với người dùng thiết bị Android, không chỉ vì khả năng vượt qua các lớp bảo vệ tích hợp như Google Play Protect, mà còn bởi cơ chế phát tán và kỹ thuật tấn công ngày càng tinh vi, khó nhận diện.

Theo các chuyên gia từ ThreatFabric – đơn vị đầu tiên phát hiện mã độc này, Crocodilus được phát tán chủ yếu thông qua các quảng cáo độc hại trên mạng xã hội như Facebook. Những quảng cáo này thường đưa ra lời mời hấp dẫn như tặng điểm thưởng, khuyến mãi đặc biệt… nhưng chỉ tồn tại trong một đến hai giờ, đủ thời gian để lôi kéo hàng nghìn lượt truy cập.

Khi người dùng nhấp vào, họ bị chuyển hướng tới các trang web giả mạo, nơi mã độc Crocodilus âm thầm được cài vào thiết bị mà không cần tới quyền truy cập dịch vụ trợ năng – điều vốn là yêu cầu phổ biến với nhiều phần mềm độc hại khác.

Tại Ba Lan, mã độc được ngụy trang dưới dạng các ứng dụng ngân hàng và mua sắm giả. Trong khi đó, ở Tây Ban Nha, Crocodilus đóng giả là bản cập nhật trình duyệt, nhắm thẳng vào các ngân hàng lớn của quốc gia này. Các chiến dịch nhỏ hơn được ghi nhận có liên quan tới việc mạo danh ứng dụng từ nhiều quốc gia khác như Mỹ, Argentina, Brazil và Ấn Độ, cho thấy phạm vi phát tán đang ngày càng mở rộng.

Điểm đặc biệt nguy hiểm của Crocodilus nằm ở khả năng can thiệp sâu vào hệ thống thiết bị Android. Một biến thể mới của mã độc này đã được ghi nhận có thể tự động thêm liên hệ giả vào danh bạ điện thoại của nạn nhân – một kỹ thuật lừa đảo chưa từng xuất hiện phổ biến trước đó.

Theo đó, khi kẻ tấn công thực hiện cuộc gọi, màn hình điện thoại sẽ hiển thị tên liên hệ như “Bank Support” thay vì một số lạ, khiến người dùng lầm tưởng đó là cuộc gọi từ ngân hàng thật. Điều này giúp Crocodilus dễ dàng thực hiện các cuộc tấn công, giả mạo nhân viên ngân hàng hoặc người thân để lừa đảo và chiếm đoạt tài sản. Các liên hệ giả mạo này chỉ tồn tại cục bộ trên thiết bị bị nhiễm và không đồng bộ lên tài khoản Google, khiến việc phát hiện càng trở nên khó khăn.

Không dừng lại ở đó, Crocodilus còn sở hữu khả năng điều khiển thiết bị từ xa, đánh cắp dữ liệu cá nhân và thực hiện tấn công kiểu Overlay – kỹ thuật tạo ra giao diện giả mạo ứng dụng tài chính nhằm thu thập thông tin đăng nhập của người dùng. Mã độc này cũng được tích hợp khả năng phân tích nội dung màn hình dựa trên biểu thức chính quy để trích xuất dữ liệu có giá trị cao như "cụm từ hạt giống" và khóa riêng từ các ứng dụng ví tiền điện tử.

Các mẫu mới của Crocodilus sử dụng kỹ thuật che giấu nâng cao như đóng gói mã và mã hóa XOR, giúp né tránh các hệ thống phát hiện phần mềm độc hại. Mã độc cũng đã được cập nhật để hỗ trợ khả năng ghi lại hành vi sử dụng Accessibility, cho phép kẻ tấn công theo dõi tương tác trên thiết bị theo thời gian thực.

Các chuyên gia an ninh mạng cũng cho biết, các chiến dịch phát tán Crocodilus thường được triển khai thông qua nhiều kênh khác nhau, bao gồm cả các cửa hàng ứng dụng không chính thức, tin nhắn văn bản và trang web lừa đảo trên mạng xã hội. Mặc dù cách thức lây nhiễm cụ thể vẫn đang tiếp tục được điều tra, nhưng các chuyên gia nhận định rằng người dùng có thể bị lừa cài mã độc thông qua các liên kết tưởng chừng vô hại xuất hiện trong quảng cáo hoặc tin nhắn giả mạo.

Crocodilus hiện không còn là một mối đe dọa cục bộ mà đã trở thành nguy cơ toàn cầu. Các nhà nghiên cứu an ninh mạng cảnh báo rằng phần mềm độc hại này đang được điều hành bởi một nhóm các tổ chức chuyên nghiệp, có khả năng thích ứng và phát triển không ngừng, với mục tiêu chiếm đoạt tài sản từ người dùng cá nhân và tổ chức tài chính ở nhiều quốc gia.

Trong bối cảnh mối đe dọa ngày càng tinh vi và mở rộng, người dùng thiết bị Android được khuyến cáo cần nâng cao cảnh giác và thực hiện các biện pháp bảo vệ cơ bản như chỉ tải ứng dụng từ các cửa hàng chính thức như Google Play Store, kích hoạt Google Play Protect, hạn chế cài đặt ứng dụng không cần thiết và luôn xác minh thông tin trước khi thực hiện bất kỳ yêu cầu nào liên quan đến tài chính – kể cả khi yêu cầu đến từ những số điện thoại quen thuộc.