Người dùng Android nên cảnh giác phần mềm này để tránh mất tài khoản ngân hàng

Giả danh Google Chrome, lén lút tấn công

Crocodilus ẩn mình bên trong ứng dụng giả dạng trình duyệt Google Chrome (quizzical.washbowl.calamity) và hoạt động như một dropper, một loại mã độc có khả năng vượt qua các giới hạn bảo mật của hệ điều hành Android 13 trở lên.

Sau khi cài đặt và khởi chạy, ứng dụng sẽ yêu cầu cấp quyền truy cập vào các dịch vụ trợ năng của Android, sau đó liên hệ với máy chủ từ xa để nhận thêm hướng dẫn, danh sách các ứng dụng tài chính cần nhắm mục tiêu và lớp phủ HTML được sử dụng để đánh cắp thông tin đăng nhập.

Lớp phủ màn hình giả mạo để đánh cắp tài khoản ngân hàng. Ảnh: ThreatFabric

“Crocodilus chạy liên tục, theo dõi việc khởi chạy ứng dụng và hiển thị lớp phủ để chặn thông tin xác thực,” ThreatFabric tiết lộ.

Thậm chí, phần mềm độc hại còn ghi lại mọi thao tác trên màn hình, bao gồm cả nội dung từ Google Authenticator, giúp kẻ xấu dễ dàng lấy cắp mã xác thực hai lớp.

Chiêu trò đánh lừa người dùng tiền điện tử

Không dừng lại ở tài khoản ngân hàng, Crocodilus còn nhắm đến các ví tiền điện tử. Thay vì giả mạo trang đăng nhập, phần mềm này hiển thị thông báo giả cảnh báo người dùng phải sao lưu seed phrase (về cơ bản là một khóa riêng tư) khóa trong vòng 12 giờ, nếu không sẽ mất quyền truy cập vào ví.

Đây thực chất là một chiêu trò kỹ thuật xã hội để dụ nạn nhân tự tay giao nộp thông tin nhạy cảm. Khi người dùng nhập cụm từ này, Crocodilus lập tức thu thập qua dịch vụ trợ năng, cho phép kẻ tấn công kiểm soát ví và rút sạch tài sản.

Crocodilus được trang bị nhiều kỹ thuật và công nghệ tinh vi. Ảnh: The Hacker News

Công nghệ tinh vi, khó phát hiện

Các nhà nghiên cứu cho biết, Crocodilus được trang bị hàng loạt tính năng hiện đại khiến nó trở thành cơn ác mộng cho người dùng. Ngoài việc sử dụng lớp phủ màn hình đen để che giấu hành vi độc hại và tắt tiếng thiết bị, nó còn có thể thực hiện một loạt các tính năng khác, đơn cử:

- Khởi chạy ứng dụng được chỉ định.

- Gửi tin nhắn SMS đến danh bạ.

- Lấy danh sách liên lạc và ứng dụng đã cài đặt.

- Yêu cầu quyền quản trị viên thiết bị.

- Tự biến thành trình quản lý SMS mặc định…

“Phần mềm độc hại theo dõi tất cả các sự kiện trợ năng và ghi lại mọi thành phần hiển thị trên màn hình,” ThreatFabric giải thích. Điều này giúp nó không chỉ đánh cắp dữ liệu mà còn thực hiện các giao dịch gian lận mà nạn nhân không hề hay biết.

Làm thế nào để hạn chế bị mất tài khoản ngân hàng?

Trong bối cảnh các mối đe dọa như Crocodilus ngày càng gia tăng, người dùng Android cần cẩn trọng khi cài đặt ứng dụng từ nguồn không rõ ràng, kiểm tra kỹ quyền truy cập mà ứng dụng yêu cầu, và sử dụng phần mềm diệt virus uy tín.

Sự kiện này cũng diễn ra cùng lúc Forcepoint phát hiện một chiến dịch lừa đảo nhắm vào người dùng Windows ở Mexico, Argentina và Tây Ban Nha, cho thấy tội phạm mạng đang mở rộng phạm vi tấn công trên toàn cầu.

Tiểu Minh