Xuất hiện mã độc Android tự "livestream" màn hình, thao túng hơn 400 ứng dụng ngân hàng

00:00 / 0:00

Chuẩn

Tốc độ đọc

Thủ đoạn mới cực tinh vi của hacker với mã độc mới, có thể làm giả Google Play Store để chiếm quyền điều khiển Android.

Giới chuyên gia an ninh mạng vừa phát đi báo động về một loại trojan ngân hàng mới trên Android mang tên "Albiriox". Không chỉ đánh cắp mật khẩu, mã độc này còn có khả năng "livestream" màn hình nạn nhân về máy chủ của hacker và tự động thao tác vuốt, chạm để rút tiền ngay trên thiết bị.

Điện thoại Android tiếp tục là nạn nhân của tin tặc.

Theo báo cáo từ các chuyên gia bảo mật tại Malwarebytes và Cleafy, Albiriox được thiết kế để thực hiện hành vi gian lận trên thiết bị (On-Device Fraud). Thay vì chỉ đánh cắp thông tin đăng nhập rồi dùng ở một máy khác, Albiriox chiếm quyền kiểm soát (remote access) để thực hiện giao dịch ngay trên chính chiếc smartphone của nạn nhân.

Điều này cực kỳ nguy hiểm vì nó giúp hacker:

- Livestream màn hình: Quan sát mọi thao tác, tin nhắn, mã OTP của người dùng theo thời gian thực.

- Thao tác từ xa: Tự động chạm, vuốt, gõ phím như người thật.

- Qua mặt bảo mật 2 lớp: Do giao dịch thực hiện trên thiết bị tin cậy (máy của nạn nhân) và mã OTP bị chặn/đọc trộm ngay lập tức, các cơ chế bảo vệ của ngân hàng dễ dàng bị vô hiệu hóa.

Một tính năng khiến Albiriox trở nên đáng sợ là khả năng che giấu hành vi. Khi hacker bắt đầu xâm nhập vào ứng dụng ngân hàng để "rút ruột" tài khoản, mã độc này sẽ kích hoạt chế độ hiển thị màn hình đen.

Người dùng sẽ lầm tưởng điện thoại bị đơ, bị lag hoặc đang tải ứng dụng. Tuy nhiên, đằng sau màn hình tối đen đó, hacker đang âm thầm thao tác chuyển tiền đi mà nạn nhân không hề hay biết.

Hacker có chiêu trò làm đen màn hình khi rút ruột ngân hàng.

Cách thức lây lan của Albiriox cũng cho thấy sự đầu tư kỹ lưỡng của tội phạm mạng. Chúng tạo ra các trang web giả mạo Google Play Store giống hệt bản gốc – từ giao diện, ảnh chụp màn hình ứng dụng cho đến các đánh giá (review) – nhằm đánh lừa người dùng tải về file APK chứa mã độc.

Sau khi xâm nhập, nó tiếp tục ngụy trang dưới vỏ bọc cập nhật hẹ thống để lừa người dùng cấp quyền Trợ năng (Accessibility), từ đó chiếm quyền kiểm soát hoàn toàn thiết bị.

Hiện tại, Albiriox đang được rao bán trên các diễn đàn tội phạm mạng (Dark Web) dưới dạng dịch vụ thuê bao (Malware-as-a-Service). Danh sách mục tiêu của nó đã lên tới hơn 400 ứng dụng ngân hàng và ví điện tử phổ biến trên toàn cầu.

Để tự bảo vệ mình trước cơn bão mã độc này, các chuyên gia khuyến cáo:

- Tuyệt đối không được cài đặt ứng dụng từ nguồn ngoài (Sideload): Chỉ tải chính thống từ Google Play Store.

- Cảnh giác với các đường link lạ: Không bấm vào link tải ứng dụng được gửi qua SMS, WhatsApp hay Zalo.

- Bật Google Play Protect: Đảm bảo tính năng này luôn hoạt động để quét và ngăn chặn ứng dụng độc hại.

- Chú ý dấu hiệu lạ: Nếu điện thoại tự nhiên nóng lên, pin tụt nhanh hoặc màn hình tối đen bất thường khi mở ứng dụng ngân hàng, hãy ngắt kết nối mạng ngay lập tức.