Theo BleepingComputer, Crocodilus lần đầu được phát hiện vào tháng 3/2025 bởi công ty an ninh mạng Threat Fabric. Ban đầu, loại mã độc này chủ yếu nhắm vào người dùng tiền mã hóa tại Thổ Nhĩ Kỳ, nhưng hiện nay đã mở rộng phạm vi tấn công trên quy mô toàn cầu, với các ca nhiễm xuất hiện tại nhiều quốc gia như Mỹ, Tây Ban Nha, Argentina, Brazil, Indonesia và Ấn Độ...
Điểm đáng chú ý là Crocodilus có khả năng vượt qua các lớp bảo vệ tích hợp sẵn trên Android, bao gồm cả Google Play Protect. Mã độc này sử dụng một cơ chế phát tán được tùy chỉnh tinh vi, cho phép xâm nhập thiết bị mà không cần quyền Dịch vụ Trợ năng (Accessibility Services) – vốn là yếu tố mà nhiều mã độc khác phải dựa vào để hoạt động.
Crocodilus có khả năng vượt qua các lớp bảo vệ tích hợp sẵn trên Android. Ảnh minh họa
Tính năng nguy hiểm nhất của Crocodilus là tạo danh bạ giả trên điện thoại. Khi người dùng vô tình tải phần mềm độc hại, kẻ tấn công có thể thêm các số điện thoại giả mạo, khiến cuộc gọi hoặc tin nhắn lừa đảo trông như đến từ bạn bè, người thân hoặc các tổ chức uy tín.
Chẳng hạn, điện thoại của bạn có thể hiển thị cuộc gọi từ “bạn thân” hoặc “nhân viên ngân hàng quen thuộc”, nhưng thực chất đó là tin tặc mạo danh để chiếm đoạt tiền hoặc thông tin cá nhân.
Các chuyên gia cảnh báo rằng Crocodilus có thể chiếm quyền kiểm soát toàn bộ thiết bị, đánh cắp dữ liệu cá nhân và có thể hiển thị giao diện đăng nhập giả chồng lên ứng dụng ngân hàng để lấy cắp tên người dùng và mật khẩu.
Giờ đây, với việc giả mạo cả tin nhắn và cuộc gọi từ người quen, mức độ rủi ro càng cao hơn. Hãy tưởng tượng bạn nhận được tin nhắn từ “Mẹ” yêu cầu chuyển tiền gấp, nhưng thật ra đó là tin tặc đang đóng giả.
Một điểm tinh vi khác là danh bạ giả chỉ tồn tại trên thiết bị bị nhiễm và không đồng bộ với tài khoản Google, khiến người dùng khó phát hiện và cơ quan chức năng khó truy vết.
Ảnh minh họa
Về phương thức lây lan, hiện chưa có thông tin chính xác, nhưng các nhà nghiên cứu bảo mật nhận định Crocodilus nhiều khả năng phát tán qua:
- Các trang web cài cắm mã độc
- Quảng cáo giả trên mạng xã hội
- Tin nhắn lừa đảo (phishing)
- Cửa hàng ứng dụng không chính thống
Để giảm nguy cơ bị nhiễm Crocodilus, chuyên gia khuyến cáo người dùng:
- Hạn chế cài đặt ứng dụng không cần thiết để dễ quản lý và cập nhật bảo mật.
- Chỉ tải ứng dụng từ kho chính thức như Google Play Store, Samsung Galaxy Store hoặc Amazon Appstore.
- Tránh cài đặt ứng dụng từ cửa hàng bên thứ ba vì tiềm ẩn nguy cơ chưa được kiểm duyệt.
- Bật Google Play Protect và cân nhắc sử dụng phần mềm diệt virus uy tín để bổ sung khả năng phát hiện các mối đe dọa tinh vi.
Mặc dù mới xuất hiện, Crocodilus đã tiến hóa nhanh và lan rộng ra nhiều quốc gia, và dự báo sẽ tiếp tục trở nên nguy hiểm hơn trong thời gian tới. Người dùng Android được khuyến cáo luôn cảnh giác khi tải nội dung trên mạng và trang bị các công cụ bảo mật cần thiết để tự bảo vệ trước những mối đe dọa ngày càng tinh vi.