Người dùng Android nên cảnh giác phần mềm này để tránh mất tài khoản ngân hàng
Các nhà nghiên cứu bảo mật của ThreatFabric vừa phát hiện ra một phần mềm độc hại mới có tên là Crocodilus, được thiết kế để đánh cắp tài khoản ngân hàng và tiền điện tử.
Ngày 1/4/2025, báo Pháp luật TP.HCM đã đăng tải bài viết với tiêu đề: "Người dùng Android nên cảnh giác phần mềm này để tránh mất tài khoản ngân hàng". Nội dung như sau:
Giả danh Google Chrome, lén lút tấn công
Crocodilus ẩn mình bên trong ứng dụng giả dạng trình duyệt Google Chrome (quizzical.washbowl.calamity) và hoạt động như một dropper, một loại mã độc có khả năng vượt qua các giới hạn bảo mật của hệ điều hành Android 13 trở lên.
Sau khi cài đặt và khởi chạy, ứng dụng sẽ yêu cầu cấp quyền truy cập vào các dịch vụ trợ năng của Android, sau đó liên hệ với máy chủ từ xa để nhận thêm hướng dẫn, danh sách các ứng dụng tài chính cần nhắm mục tiêu và lớp phủ HTML được sử dụng để đánh cắp thông tin đăng nhập.
“Crocodilus chạy liên tục, theo dõi việc khởi chạy ứng dụng và hiển thị lớp phủ để chặn thông tin xác thực,” ThreatFabric tiết lộ.
Thậm chí, phần mềm độc hại còn ghi lại mọi thao tác trên màn hình, bao gồm cả nội dung từ Google Authenticator, giúp kẻ xấu dễ dàng lấy cắp mã xác thực hai lớp.
Chiêu trò đánh lừa người dùng tiền điện tử
Không dừng lại ở tài khoản ngân hàng, Crocodilus còn nhắm đến các ví tiền điện tử. Thay vì giả mạo trang đăng nhập, phần mềm này hiển thị thông báo giả cảnh báo người dùng phải sao lưu seed phrase (về cơ bản là một khóa riêng tư) khóa trong vòng 12 giờ, nếu không sẽ mất quyền truy cập vào ví.
Đây thực chất là một chiêu trò kỹ thuật xã hội để dụ nạn nhân tự tay giao nộp thông tin nhạy cảm. Khi người dùng nhập cụm từ này, Crocodilus lập tức thu thập qua dịch vụ trợ năng, cho phép kẻ tấn công kiểm soát ví và rút sạch tài sản.
Công nghệ tinh vi, khó phát hiện
Các nhà nghiên cứu cho biết, Crocodilus được trang bị hàng loạt tính năng hiện đại khiến nó trở thành cơn ác mộng cho người dùng. Ngoài việc sử dụng lớp phủ màn hình đen để che giấu hành vi độc hại và tắt tiếng thiết bị, nó còn có thể thực hiện một loạt các tính năng khác, đơn cử:
- Khởi chạy ứng dụng được chỉ định.
- Gửi tin nhắn SMS đến danh bạ.
- Lấy danh sách liên lạc và ứng dụng đã cài đặt.
- Yêu cầu quyền quản trị viên thiết bị.
- Tự biến thành trình quản lý SMS mặc định…
“Phần mềm độc hại theo dõi tất cả các sự kiện trợ năng và ghi lại mọi thành phần hiển thị trên màn hình,” ThreatFabric giải thích. Điều này giúp nó không chỉ đánh cắp dữ liệu mà còn thực hiện các giao dịch gian lận mà nạn nhân không hề hay biết.
Làm thế nào để hạn chế bị mất tài khoản ngân hàng?
Trong bối cảnh các mối đe dọa như Crocodilus ngày càng gia tăng, người dùng Android cần cẩn trọng khi cài đặt ứng dụng từ nguồn không rõ ràng, kiểm tra kỹ quyền truy cập mà ứng dụng yêu cầu, và sử dụng phần mềm diệt virus uy tín.
Sự kiện này cũng diễn ra cùng lúc Forcepoint phát hiện một chiến dịch lừa đảo nhắm vào người dùng Windows ở Mexico, Argentina và Tây Ban Nha, cho thấy tội phạm mạng đang mở rộng phạm vi tấn công trên toàn cầu.
Trước đó, báo An ninh tiền tệ cũng đã đăng tải bài viết với tiêu đề: "Người dùng điện thoại Android chú ý: Tuyệt đối không lưu ảnh chụp CCCD trên điện thoại để tránh bị mất tiền trong tài khoản ngân hàng". Cụ thể như sau:
Theo ngân hàng BIDV, thời gian gần đây xuất hiện các đối tượng giả danh là cán bộ của các cơ quan Nhà nước, Chính phủ(đặc biệt là cơ quan Công an, Thuế) gọi điện thoại thông báo khách hàng cần khai báo/cập nhật thông tin tại các ứng dụng của cơ quan Nhà nước (như VNEID, VSSID, eTax,..) và sẽ gửi/đọc các đường link tải ứng dụng giả mạo cho khách hàng.
Sau khi ứng dụng giả mạo được cài đặt vào điện thoại, các đối tượng sẽ tạo ra một số tình huống để người dùng thực hiện các giao dịch như đổi mật khẩu, chuyển khoản lệ phí công,… Khi khách hàng thực hiện, các ứng dụng giả mạo này sẽ theo dõi và đọc trộm các thông tin mà khách hàng nhập vào toàn bộ các ứng dụng trên điện thoại, cũng như các thao tác mà khách hàng thực hiện trên thiết bị (bao gồm cả nguy cơ đánh cắp thông tin trên SmartBanking), từ đó cướp quyền điều khiển thiết bị di động cũng như tài khoản của khách hàng.
Hiện tượng được ghi nhận chủ yếu xảy ra với khách hàng sử dụng hệ điều hành Android.
Theo đó, BIDV khuyến cáo khách hàng đang sử dụng các thiết bị Android thực hiện tắt các ứng dụng có quyền Hỗ trợ (Accessibility) tại mục "Cài đặt > Hỗ trợ > Ứng dụng đã cài đặt". Bên cạnh đó, ngân hàng khuyến cáo khách hàng:
- Chỉ cài đặt các ứng dụng chính thức trên Appstore và CH Play, không cài đặt qua các web/link lạ, tuyệt đối không cung cấp/ để lộ thông tin (mật khẩu, mã xác thực,...) cho bất kỳ ai để tránh bị lợi dụng.
- Tuyệt đối không lưu trữ trên thiết bị di động: ảnh chụp CMTND/CCCD/Hộ chiếu cá nhân, số tài khoản ngân hàng, mật khẩu truy cập ứng dụng ngân hàng.
- Luôn cập nhật ứng dụng BIDV SmartBanking lên phiên bản mới nhất.
- Nắm vững quy định làm việc của các cơ quan Nhà nước, Chính phủ là chỉ hướng dẫn các thủ tục hành chính tại Trụ sở làm việc hoặc qua Cổng dịch vụ công quốc gia, không hướng dẫn qua điện thoại, tin nhắn, mạng xã hội.
- Thông báo ngay cho cơ quan công an gần nhất nếu phát hiện nghi ngờ.
Tương tự, VietinBank gần đây cũng cảnh báo các phần mềm giả mạo dịch vụ công. Các hoạt động lừa đảo, giả mạo diễn ra ngày càng gia tăng về số lượng và đa dạng, phức tạp về phương thức, thủ đoạn. Mới đây nhất, thủ đoạn của các đối tượng này là mạo danh cơ quan chức năng hướng dẫn, yêu cầu người dùng tải các ứng dụng giả mạo dịch vụ công (Bộ Công an, VNEID, Tổng Cục Quản lý đất đai, Tổng Cục Thuế...); từ đó chiếm quyền kiểm soát điện thoại và chiếm đoạt tài sản trong tài khoản ngân hàng, ví điện tử… của khách hàng.
Theo thông báo của cơ quan công an, 4 bước chính trong kịch bản lừa đảo được các nhóm đối tượng sử dụng gồm: Mạo danh cán bộ, viên chức cơ quan Nhà nước yêu cầu người dùng hợp tác phục vụ công việc; hướng dẫn người dùng tải và cài đặt ứng dụng giả mạo; ứng dụng giả mạo kết nối và nhận lệnh từ máy chủ của nhóm tấn công; nhóm tấn công có thể theo dõi, chiếm quyền điều khiển thiết bị, đánh cắp từ xa dữ liệu trên thiết bị người dùng và từ đó dễ dàng chiếm đoạt tài sản của người dùng.
Cơ quan chức năng cũng khuyến cáo người dân nâng cao cảnh giác trước các cuộc gọi, tin nhắn lạ vì cơ quan chức năng không yêu cầu cung cấp thông tin cá nhân, cũng như không làm việc qua điện thoại; đồng thời liên hệ với các cơ quan chức năng có thẩm quyền để xác minh về người liên hệ/gọi điện và cảnh giác với những yêu cầu cài đặt phần mềm.
Nhằm đảm bảo an toàn, nâng cao bảo mật cho khách hàng, đặc biệt với các khách hàng đang sử dụng thiết bị Android, VietinBank khuyến cáo khách hàng 3 "Không", 4 "Nên":
Tuyệt đối KHÔNG cài đặt phần mềm giả mạo dịch vụ công (Bộ Công an, VNEID, Tổng Cục Quản lý đất đai, Tổng Cục Thuế...) từ các website/đường link/QRCode lạ hoặc file APK. Tuyệt đối KHÔNG click vào các đường link lạ được gửi qua email/tin nhắn. Tuyệt đối KHÔNG cung cấp thông tin bảo mật như tên truy cập, mật khẩu, mã OTP… cho bất kỳ ai dưới bất kỳ hình thức nào, kể cả công an hay nhân viên ngân hàng.
Chỉ NÊN cài đặt phần mềm trên chợ ứng dụng App Store/Google Play/CH Play. Khi cài đặt bất kỳ ứng dụng nào, người dùng NÊN đọc kỹ thông tin trước khi đồng ý tất cả điều khoản, kiểm tra thông tin tác giả (nhà phát triển) và đọc các bài đánh giá về ứng dụng. NÊN thường xuyên cập nhật các phương thức, thủ đoạn của tội phạm trên các phương tiện thông tin đại chúng và website VietinBank/VietinBank iPay Mobile. Nếu có dấu hiệu nghi ngờ lừa đảo NÊN liên hệ ngay với VietinBank (Hotline: 1900 558 868) và cơ quan công an để được hỗ trợ kịp thời.
