Cảnh báo mã độc Android giả danh bạ để chiếm đoạt tài sản

Thủ đoạn tinh vi, khó phát hiện

Theo TechRadar, Crocodilus - biến thể phần mềm độc hại Android mới - đang gây lo ngại nghiêm trọng khi có thể tự động thêm các liên hệ giả mạo vào danh bạ trên thiết bị nạn nhân. Chiêu thức này khiến người dùng rất khó nhận biết các cuộc gọi lừa đảo, ngay cả khi tên hiển thị trên màn hình là ngân hàng hay người thân quen. Trong khi đó, thông tin tài khoản ngân hàng có thể bị đánh cắp một cách âm thầm và nhanh chóng.

Báo cáo từ BleepingComputer cho biết, Crocodilus được phát hiện lần đầu vào tháng 3/2025 bởi công ty an ninh mạng Threat Fabric. Ban đầu, mã độc này chỉ nhắm vào người dùng tiền mã hóa tại Thổ Nhĩ Kỳ, nhưng hiện đã mở rộng phạm vi tấn công trên toàn cầu, xuất hiện tại nhiều quốc gia như Mỹ, Tây Ban Nha, Argentina, Brazil, Indonesia và Ấn Độ.

Điểm đáng lo ngại là Crocodilus có thể vượt qua các cơ chế bảo vệ tích hợp trên Android, kể cả Google Play Protect, nhờ sử dụng một công cụ phát tán được tùy biến kỹ lưỡng. Đặc biệt, mã độc này có thể xâm nhập thiết bị mà không cần quyền truy cập vào Dịch vụ Trợ năng (Accessibility Services) - vốn là điều kiện mà nhiều mã độc khác phải dựa vào để hoạt động.

Chiêu thức tinh vi nhất vừa được phát hiện của Crocodilus là khả năng tự động chèn liên hệ giả mạo vào danh bạ điện thoại. Khi tin tặc thực hiện cuộc gọi, tên hiển thị trên màn hình có thể là "Ngân hàng", "Hỗ trợ khách hàng" hoặc tên người quen, thay vì một số lạ - khiến nạn nhân dễ dàng mất cảnh giác.

Thủ đoạn này mở đường cho các cuộc tấn công giả mạo (social engineering) với độ chính xác cao, cho phép kẻ gian mạo danh tổ chức tài chính, doanh nghiệp uy tín, thậm chí cả bạn bè hoặc người thân để thực hiện hành vi lừa đảo và chiếm đoạt tài sản.

Mã độc Crocodilus qua mặt nhiều lớp bảo vệ Android (Ảnh minh họa: Getty Images)

Không chỉ dừng lại ở khả năng giả mạo danh bạ, Crocodilus còn là một mã độc đa năng với loạt chức năng tấn công nguy hiểm. Phần mềm độc hại này có thể điều khiển thiết bị từ xa, đánh cắp dữ liệu cá nhân, và sử dụng kỹ thuật Overlay Attack - tạo giao diện giả mạo các ứng dụng ngân hàng, ví điện tử hoặc dịch vụ tài chính - nhằm đánh cắp thông tin đăng nhập của người dùng một cách kín đáo và hiệu quả.

Một điểm đáng lưu ý là các liên hệ giả mạo được thêm vào danh bạ chỉ tồn tại trên thiết bị bị nhiễm, không được đồng bộ với tài khoản Google.

Hiện tại, phương thức lây nhiễm chính xác của Crocodilus vẫn chưa được xác định rõ, nhưng các chuyên gia từ công ty an ninh mạng Field Effect nhận định phần mềm độc hại này có thể phát tán qua các trang web độc hại, tin nhắn lừa đảo trên mạng xã hội, tin nhắn SMS hoặc ứng dụng từ các kho tải bên thứ ba - vốn thường tiềm ẩn rủi ro bảo mật cao.

Làm thế nào để giữ an toàn?

Trước mối đe dọa ngày càng tinh vi từ mã độc Crocodilus, người dùng cần nâng cao cảnh giác và chủ động bảo vệ thiết bị của mình bằng những biện pháp sau:

- Hạn chế số lượng ứng dụng: Chỉ cài đặt những ứng dụng thực sự cần thiết và thường xuyên cập nhật phiên bản mới nhất để vá lỗi bảo mật.

Tải ứng dụng từ nguồn tin cậy: Ưu tiên sử dụng Google Play Store hoặc các cửa hàng chính thức như Samsung Galaxy Store, Amazon App Store. Tuyệt đối tránh các kho ứng dụng không rõ nguồn gốc hoặc bên thứ ba.

- Kích hoạt Google Play Protect: Luôn bật công cụ bảo mật miễn phí này để tự động quét và phát hiện các ứng dụng độc hại.

- Sử dụng phần mềm diệt virus uy tín: Cài đặt ứng dụng diệt virus dành cho Android từ nhà cung cấp có danh tiếng để tăng cường bảo vệ thiết bị.

- Cảnh giác với các yêu cầu bất thường: Luôn kiểm tra, xác minh thông tin khi nhận được yêu cầu chuyển tiền hoặc cung cấp dữ liệu cá nhân, kể cả khi cuộc gọi hoặc tin nhắn đến từ số điện thoại quen thuộc.

Trước sự phát triển không ngừng của Crocodilus và các mã độc tương tự, việc nâng cao nhận thức và áp dụng các biện pháp bảo vệ thiết thực là vô cùng cần thiết để đảm bảo an toàn cho người dùng và tài sản số.

Theo TechRadar