Cảnh báo mã độc Rokarolla tấn công hơn 200 ứng dụng ngân hàng và tiền điện tử

Công ty bảo mật di động Zimperium đang đưa ra cảnh báo khẩn cấp dành cho người dùng Android về Rokarolla, một loại mã độc ngân hàng (banking trojan) mới có khả năng nhắm mục tiêu tấn công hơn 200 ứng dụng tiền điện tử và ngân hàng.

Mã độc Android

Mã độc này được phân phối thông qua các trang web độc hại, nơi nó ngụy trang thành các ứng dụng phổ biến như Chrome và TikTok. Đáng chú ý, các ứng dụng giả mạo này sẽ phân phối phần mềm độc hại chính (payload) bằng cách mạo danh tính của Google Play Protect để lừa người dùng cài đặt.

Khả năng tấn công và đánh cắp dữ liệu

Sau khi xâm nhập thành công vào thiết bị, Rokarolla sẽ yêu cầu một loạt quyền hạn rộng rãi. Mối đe dọa lớn nhất của mã độc này là khả năng thu thập thông tin đăng nhập màn hình khóa của điện thoại Android, bao gồm PIN, mẫu mở khóa hoặc mật khẩu. Điều này cho phép kẻ tấn công chiếm quyền kiểm soát hoàn toàn thiết bị và đánh cắp dữ liệu nhạy cảm ngay cả khi điện thoại đang ở trạng thái khóa.

Theo Zimperium, trojan này có thể đánh cắp dữ liệu từ 217 ứng dụng ngân hàng và tiền điện tử bằng cách sử dụng kỹ thuật lớp phủ màn hình (screen overlays) để lừa đảo (phishing) thông tin đăng nhập của người dùng.

Tấn công WhatsApp và thao túng giao dịch

Không chỉ dừng lại ở các ứng dụng tài chính, Rokarolla còn có khả năng thu thập danh bạ WhatsApp bằng cách lạm dụng Dịch vụ Khả năng truy cập (Accessibility Services) để ghi lại cấu trúc màn hình đang hoạt động. Ngoài ra, mã độc này còn có thể đánh cắp tin nhắn SMS và chặn cuộc gọi đến.

Rokarolla cũng được tích hợp tính năng keylogger (ghi nhật ký bàn phím), cho phép ghi lại mọi thao tác gõ phím của nạn nhân. Một tính năng nguy hiểm khác là khả năng thao túng bộ nhớ tạm (clipboard); mã độc có thể thay thế địa chỉ ví tiền điện tử của người dùng bằng địa chỉ do kẻ tấn công kiểm soát, dẫn đến việc chuyển tiền sai đích.

Zimperium nhận định: "Mã độc này chụp ảnh chụp màn hình có hệ thống của thiết bị nạn nhân, nén chúng sang định dạng PNG và exfiltrate dữ liệu hình ảnh cùng với dấu thời gian chính xác."

Cơ chế lẩn tránh tinh vi

Để tránh bị phát hiện, Rokarolla sử dụng nhiều phương pháp khác nhau, bao gồm cả việc vô hiệu hóa Google Play Protect.

"Mã độc ban đầu ẩn biểu tượng ứng dụng khỏi ngăn ứng dụng của thiết bị để tránh bị phát hiện bằng thị giác," Zimperium giải thích. "Bổ sung cho sự lẩn tránh này, mã độc có khả năng tắt tất cả âm thanh và rung của thiết bị, đảm bảo nó hoạt động hoàn toàn im lặng trong quá trình thực hiện hành vi lừa đảo."

Việc chặn âm thanh này giúp che giấu các tín hiệu quan trọng như thông báo cảnh báo bảo mật hoặc cuộc gọi xác minh từ ngân hàng, làm giảm đáng kể khả năng người dùng phát hiện hoặc làm gián đoạn quá trình giao dịch.

Người dùng Android được khuyến cáo chỉ nên tải ứng dụng từ cửa hàng ứng dụng chính thức như Google Play và cảnh trọng với các yêu cầu cấp quyền bất thường từ các ứng dụng không rõ nguồn gốc.