Mã độc trên di động ngày càng tinh vi, nhắm đến các thiết bị Android với những phương thức tấn công phức tạp hơn. Báo cáo từ ThreatFabric mới đây đã phát hiện Crocodilus, một loại Trojan ngân hàng hoàn toàn mới với khả năng đánh cắp thông tin đăng nhập, kiểm soát thiết bị từ xa và đặc biệt là đánh cắp mã OTP từ Google Authenticator. Không giống các biến thể cũ, Crocodilus ngay từ đầu đã được thiết kế với đầy đủ các tính năng của một mã độc hiện đại.
Crocodilus vượt qua các cơ chế bảo mật trên Android 13+ bằng một dropper đặc biệt, sau đó dụ người dùng cấp quyền Trợ năng (Accessibility Service) để kiểm soát thiết bị. Khi có quyền này, nó sẽ giám sát các ứng dụng tài chính, hiển thị giao diện giả mạo để đánh cắp thông tin đăng nhập. Không chỉ ghi lại thao tác bàn phím như cách truyền thống, Crocodilus còn theo dõi toàn bộ nội dung hiển thị trên màn hình, giúp nó thu thập mật khẩu, OTP và các dữ liệu nhạy cảm khác.
Mối đe dọa lớn nhất của Crocodilus là khả năng đánh cắp OTP từ Google Authenticator. Mã độc này có thể chụp lại màn hình ứng dụng và trích xuất mã OTP theo thời gian thực, giúp hacker vượt qua các lớp bảo mật hai yếu tố (2FA). Ngoài ra, Crocodilus còn có thể điều khiển thiết bị từ xa, sử dụng một lớp phủ màu đen để che màn hình, khiến nạn nhân không nhận ra thiết bị của mình đang bị thao túng.
Bên cạnh các cuộc tấn công ngân hàng, Crocodilus còn nhắm đến ví tiền mã hóa bằng cách hiển thị một cảnh báo giả mạo, yêu cầu nạn nhân sao lưu khóa bảo mật để tránh mất quyền truy cập. Khi nạn nhân thực hiện thao tác này, Crocodilus sẽ ghi lại Seed Phrase (khóa khôi phục) và gửi về máy chủ điều khiển, cho phép hacker chiếm đoạt toàn bộ tài sản.
Hiện Crocodilus đang tấn công các ngân hàng tại Tây Ban Nha, Thổ Nhĩ Kỳ và nhắm đến các tài sản có giá trị cao như tiền điện tử. Để bảo vệ thiết bị, người dùng cần hạn chế cấp quyền Trợ năng cho ứng dụng lạ, tránh tải phần mềm từ nguồn không chính thống, sử dụng 2FA bằng phần cứng và thường xuyên kiểm tra các ứng dụng có quyền kiểm soát màn hình hoặc bàn phím.
