Các chuyên gia bảo mật vừa phát hiện một mã độc ngân hàng mới trên thiết bị Android có tên Rokarolla, được thiết kế để giả dạng 217 ứng dụng ngân hàng và tiền điện tử. Loại mã độc trojan này sở hữu 137 lệnh điều khiển khác nhau, cho phép kẻ tấn công gần như kiểm soát hoàn toàn thiết bị của nạn nhân.

Theo báo cáo từ hãng bảo mật Zimperium, Rokarolla đang được phát tán thông qua các trang web độc hại giả mạo cung cấp các ứng dụng phổ biến như Google Chrome hoặc TikTok. Khi người dùng tải về và cài đặt các ứng dụng này, thiết bị của người dùng sẽ bị chiếm quyền quản trị từ xa.

Quá trình cài đặt ứng dụng TikTok có chứa mã độc. Ảnh: Zimperium

Thu thập thông tin chi tiết của thiết bị

Ngay sau khi lây nhiễm thành công, Rokarolla sẽ liên lạc với máy chủ điều khiển (C2) và gửi về hồ sơ cơ bản của thiết bị, bao gồm model điện thoại, phiên bản Android, ngôn ngữ hệ thống, thông số màn hình, dung lượng pin, dung lượng lưu trữ và RAM khả dụng.

Các dữ liệu này sẽ được sử dụng để tạo mã định danh riêng cho từng nạn nhân, giúp tin tặc quản lý và theo dõi các thiết bị bị nhiễm trong chiến dịch tấn công.

Đánh cắp thông tin tài chính bằng màn hình giả mạo

Mục tiêu chính của Rokarolla là đánh cắp thông tin tài chính. Mã độc sẽ kiểm tra xem trên thiết bị có cài đặt ứng dụng nào nằm trong danh sách 217 mục tiêu hay không. Nếu phát hiện ứng dụng phù hợp, nó sẽ tải xuống giao diện lừa đảo tương ứng.

Khi người dùng mở ứng dụng ngân hàng hoặc ví tiền mã hóa bị nhắm tới, Rokarolla sẽ hiển thị một màn hình đăng nhập giả đè lên ứng dụng thật nhằm đánh cắp tên đăng nhập, mật khẩu, thông tin thẻ tín dụng và các dữ liệu tài chính quan trọng khác.

Không chỉ phục vụ mục đích đánh cắp dữ liệu, các lớp phủ này còn được sử dụng để thu thập mã PIN hoặc hình vẽ mở khóa màn hình, đồng thời cho phép mã độc tiếp tục điều khiển thiết bị ngay cả khi máy đang bị khóa.

Ngoài ra, Rokarolla còn có thể che giấu hoạt động của mình bằng cách hiển thị các màn hình cài đặt giả, khiến người dùng không nhận ra những hành vi bất thường đang diễn ra.

Các chuyên gia cho biết họ không phát hiện Rokarolla trên kho ứng dụng chính thức Google Play, cho thấy mã độc chủ yếu được phát tán thông qua các tập tin APK tải từ nguồn bên ngoài.

Khuyến cáo dành cho người dùng thiết bị Android

Các chuyên gia bảo mật khuyến nghị người dùng chỉ nên tải ứng dụng từ các nguồn đáng tin cậy và hạn chế cài đặt tập tin APK ngoài kho ứng dụng chính thức. Bên cạnh đó, cần đặc biệt thận trọng khi cấp quyền Accessibility (Trợ năng) cho ứng dụng, bởi quyền này có thể bị mã độc lợi dụng để vượt qua các cơ chế bảo mật của Android, tự động thao tác giao diện người dùng hoặc chấp thuận các yêu cầu hệ thống mà không cần sự đồng ý thực sự của chủ thiết bị.

Trong bối cảnh các chiến dịch tấn công tài chính trên thiết bị di động ngày càng gia tăng, việc duy trì thói quen tải ứng dụng an toàn và kiểm tra kỹ quyền truy cập của các ứng dụng là biện pháp quan trọng để bảo vệ dữ liệu cá nhân và tài sản số.

LÊ PHI (Theo Bleepingcomputer)