Một chủng mã độc mới mang tên Crocodilus đang khiến giới chuyên gia an ninh mạng đặc biệt lo ngại. Xuất hiện lần đầu vào tháng 3/2025, loại trojan này chuyên nhắm đến các tài khoản ngân hàng và nhanh chóng lan rộng từ Thổ Nhĩ Kỳ sang nhiều quốc gia khác như Mỹ, Tây Ban Nha, Ba Lan, Argentina, Brazil, Indonesia và Ấn Độ.

Với khả năng vượt qua các cơ chế bảo vệ mặc định của hệ điều hành Android như Google Play Protect, cùng hàng loạt kỹ thuật ngụy trang và phát tán ngày càng tinh vi, Crocodilus được xếp vào nhóm những mối đe dọa nghiêm trọng nhất hiện nay đối với người dùng di động.

Theo các chuyên gia từ công ty bảo mật ThreatFabric – đơn vị đầu tiên phát hiện ra Crocodilus, mã độc này được phát tán chủ yếu thông qua các quảng cáo độc hại trên mạng xã hội, đặc biệt là Facebook. Những quảng cáo này thường đánh vào tâm lý người dùng bằng các lời mời hấp dẫn như tặng điểm thưởng, nhận ưu đãi khủng trong thời gian giới hạn và chỉ tồn tại trong vòng một đến hai giờ để lôi kéo lượt nhấp cao. Khi người dùng nhấn vào, họ sẽ bị chuyển hướng đến các trang web giả mạo – nơi mã độc được cài cắm vào thiết bị một cách âm thầm mà không cần tới quyền truy cập dịch vụ trợ năng, điều vốn là rào cản đối với phần lớn phần mềm độc hại truyền thống.

Tại nhiều quốc gia, Crocodilus giả dạng dưới nhiều hình thức khác nhau để qua mặt người dùng. Tại Ba Lan, nó đội lốt các ứng dụng ngân hàng hoặc mua sắm trực tuyến. Tại Tây Ban Nha, mã độc ngụy trang thành bản cập nhật trình duyệt, nhắm vào các ngân hàng lớn. Tại Mỹ, Argentina, Brazil hay Ấn Độ, các biến thể khác nhau được ghi nhận đã mạo danh ứng dụng nội địa, cho thấy quy mô phát tán đang mở rộng theo hướng toàn cầu và ngày càng khó kiểm soát.

Mức độ nguy hiểm của Crocodilus không chỉ nằm ở cách lây nhiễm mà còn ở các kỹ thuật giả mạo chưa từng thấy phổ biến trước đây. Một trong những chiêu thức tinh vi nhất là khả năng tự động thêm các liên hệ giả mạo vào danh bạ thiết bị nạn nhân. Khi kẻ tấn công thực hiện cuộc gọi, điện thoại sẽ hiển thị tên gọi thân quen như “Bank Support” thay vì số điện thoại lạ, đánh lừa người dùng tin rằng đây là cuộc gọi từ ngân hàng thật.

Điều này mở ra cánh cửa cho hàng loạt kịch bản lừa đảo, từ giả danh nhân viên ngân hàng đến mạo danh người thân để lừa lấy mã OTP hoặc yêu cầu chuyển tiền. Đặc biệt, các liên hệ giả này chỉ tồn tại cục bộ trong máy, không được đồng bộ lên tài khoản Google, khiến việc phát hiện gần như không thể nếu không kiểm tra kỹ.

Crocodilus còn sở hữu khả năng kiểm soát thiết bị từ xa, đánh cắp dữ liệu cá nhân và thực hiện các cuộc tấn công dạng Overlay – tạo ra lớp giao diện giả mạo giống hệt ứng dụng tài chính để đánh cắp thông tin đăng nhập. Mã độc này có thể theo dõi nội dung hiển thị trên màn hình theo thời gian thực, sử dụng biểu thức chính quy để tìm kiếm và trích xuất các thông tin quan trọng như cụm từ hạt giống hay khóa riêng từ ví tiền điện tử. Nó cũng sử dụng các kỹ thuật ẩn mình nâng cao như đóng gói mã, mã hóa XOR và ghi lại hoạt động sử dụng Accessibility, giúp kẻ tấn công theo dõi mọi thao tác của người dùng trên thiết bị Android.

Không chỉ phát tán qua mạng xã hội, Crocodilus còn lây nhiễm thông qua các cửa hàng ứng dụng không chính thức, tin nhắn văn bản có chứa liên kết độc hại hay các trang web giả danh quảng cáo. Các chuyên gia an ninh mạng cảnh báo phần mềm độc hại này nhiều khả năng được vận hành bởi một nhóm tội phạm mạng chuyên nghiệp, có tổ chức, có khả năng điều chỉnh chiến thuật liên tục để né tránh các hệ thống phát hiện và tăng cường hiệu quả tấn công nhằm vào người dùng cá nhân lẫn tổ chức tài chính.

Trước mối đe dọa ngày càng nghiêm trọng từ Crocodilus, người dùng Android cần chủ động phòng vệ bằng các biện pháp thiết thực. Trước tiên, chỉ nên cài đặt những ứng dụng thực sự cần thiết, đồng thời thường xuyên cập nhật phiên bản mới nhất để vá các lỗ hổng bảo mật. Việc tải ứng dụng nên thực hiện từ những nguồn chính thống như Google Play Store, Samsung Galaxy Store và tuyệt đối tránh các kho ứng dụng bên thứ ba hoặc không rõ nguồn gốc.

Ngoài ra, người dùng cần bật Google Play Protect để tự động quét và phát hiện phần mềm độc hại, đồng thời cài đặt phần mềm diệt virus uy tín từ các nhà phát hành có tên tuổi. Khi nhận được tin nhắn, cuộc gọi yêu cầu cung cấp dữ liệu cá nhân hoặc chuyển tiền – dù đến từ số điện thoại quen thuộc cần hết sức cảnh giác và xác minh lại nguồn gốc thông tin.

Crocodilus không còn là mối đe dọa cục bộ mà đã trở thành hiểm họa toàn cầu, có khả năng thích ứng và mở rộng với tốc độ chóng mặt. Nếu người dùng không nâng cao cảnh giác và chủ động áp dụng các biện pháp bảo vệ thiết bị, nguy cơ mất dữ liệu cá nhân, mất tiền, bị giám sát hoặc mất quyền kiểm soát thiết bị chỉ còn là vấn đề thời gian.