Bảo vệ dữ liệu

Phát hiện mã độc nhắm vào người dùng dịch vụ ngân hàng di động

Các nhà nghiên cứu an ninh mạng vừa phát hiện một dòng mã độc Android mới với khả năng tấn công tinh vi nhắm vào người dùng dịch vụ ngân hàng trên di động. Phần mềm gián điệp tài chính này, được đặt tên là FvncBot, lần đầu được công ty an ninh mạng Intel 471 ghi nhận ngày 25/11/2025.

08:45, 08/12/2025
Ảnh minh họa. Laptop Mag
Ảnh minh họa. Laptop Mag
Biến thể mã độc Android ClayRat đánh cắp SMS, lịch sử cuộc gọi và bí mật chụp ảnh người dùng
Mỹ - Canada đồng cảnh báo: Hacker liên quan Trung Quốc sử dụng mã độc “Back-door” có thể nhằm phá hoại
Brazil đang bị tấn công bằng mã độc ngân hàng lan truyền qua “Sâu” WhatsApp

Ngụy trang ứng dụng ngân hàng, đánh lừa người dùng

Không giống nhiều trojan ngân hàng khác, FvncBot sử dụng mã nguồn hoàn toàn mới, không dựa vào các bộ mã rò rỉ như Ermac hay Hook.

FvncBot ban đầu xuất hiện tại Ba Lan, trá hình dưới dạng ứng dụng “Klucz bezpieczeństwa mBank” (Khóa bảo mật mBank) – tên nghe như tiện ích xác thực chính thức của một ngân hàng phổ biến tại nước này.

Nạn nhân khi mở ứng dụng giả mạo sẽ thấy giao diện “cài đặt thành phần Play” để “đảm bảo ổn định hệ thống”. Khi người dùng bấm nút Install, mã độc FvncBot sẽ được giải mã và cài ngầm vào thiết bị.

Ứng dụng tiện ích mBank giả mạo chứa mã độc. Ảnh Cyber Press
Ứng dụng tiện ích mBank giả mạo chứa mã độc. Ảnh Cyber Press

Khai thác Accessibility Services để chiếm quyền điều khiển thiết bị

Theo Intel 471, FvncBot phụ thuộc mạnh vào việc lạm dụng dịch vụ hỗ trợ tiếp cận Accessibility Services - tính năng hỗ trợ người khuyết tật nhưng thường bị tội phạm mạng khai thác.

Khi chiếm được quyền này, mã độc có thể:

Ghi lại thao tác người dùng: FvncBot âm thầm ghi toàn bộ phím bấm, bao gồm mật khẩu và mã OTP. Dữ liệu được lưu đệm hoặc gửi ngay về máy chủ điều khiển.

Tạo lớp phủ lừa đảo (web inject): Khi nạn nhân mở ứng dụng ngân hàng, FvncBot lập tức chèn cửa sổ giả mạo lên trên để đánh cắp thông tin đăng nhập.

Điểm nguy hiểm nhất của FvncBot là khả năng giám sát và điều khiển thiết bị từ xa ở mức độ nâng cao:

- HVNC (Hidden VNC): Dù ứng dụng ngân hàng chặn chụp màn hình bằng FLAG_SECURE, mã độc vẫn tái dựng giao diện để kẻ tấn công xem được đúng nội dung người dùng thấy.

- Phát trực tiếp màn hình: Thay vì gửi ảnh chụp rời rạc, FvncBot dùng nén video H.264 để truyền hình ảnh thiết bị gần như theo thời gian thực.

- Điều khiển từ xa: Thông qua kết nối WebSocket, kẻ tấn công có thể vuốt, cuộn, nhấn, khóa hoặc làm đen màn hình để che giấu hành vi gian lận diễn ra phía sau.

Hiện chưa rõ FvncBot được phát tán qua kênh nào, nhưng các nhà nghiên cứu nghi ngờ nó lan qua trang web lừa đảo hoặc tin nhắn trên ứng dụng như WhatsApp.

Các chuyên gia Intel 471 khuyến cáo, người dùng Android chỉ cài đặt ứng dụng ngân hàng từ Google Play, không tải file APK từ nguồn lạ và bật cảnh báo bảo mật để giảm nguy cơ bị tấn công.

An Lâm (Theo Cyber Press)

Bảo vệ dữ liệu
Mã độc Android FvncBot điện thoại Android trojan ngân hàng ghi lại thao tác người dùng phát video màn hình điều khiển từ xa chiếm đoạt tài khoản ngân hàng

Các nước Bắc Âu và Estonia triển khai hệ thống thanh toán thẻ ngoại tuyến đề phòng mất kết nối Internet

Công ty an ninh mạng CrowdStrike sa thải hàng trăm nhân viên

Bình luận

Sự kiện & Quan điểm
Cấm trẻ dưới 16 tuổi dùng mạng xã hội: Cần, nhưng liệu có giải quyết được gốc vấn đề?

Cấm trẻ dưới 16 tuổi dùng mạng xã hội: Cần, nhưng liệu có giải quyết được gốc vấn đề?

Mặc dù một số nhà nghiên cứu cho rằng đây là biện pháp cần thiết để bảo vệ trẻ em trên môi trường mạng, một số ý kiến khác lại đặt câu hỏi về tính hiệu quả và bền vững của lệnh cấm….