Trojan ngân hàng Android mới 'Klopatra' đe dọa hàng nghìn điện thoại thông minh
06:47 03/10/2025(VietQ.vn) - Một loại trojan ngân hàng Android chưa từng được ghi nhận trước đây mang tên Klopatra đã lây nhiễm hơn 3.000 thiết bị, chủ yếu tại Tây Ban Nha và Ý, theo cảnh báo của Công ty an ninh mạng Cleafy.
Sự kiện: AN TOÀN THÔNG TIN
Nhiều sân bay châu Âu tê liệt vì bị tấn công mạng
Bảy nguyên tắc quản lý chất lượng: Nền tảng cho hiệu quả và phát triển bền vững
Jaguar Land Rover gián đoạn sản xuất toàn cầu do tấn công mạng
Tấn công mạng tăng vọt, ransomware bùng phát: Cần cấp tốc bịt lỗ hổng an ninh
Theo đó, Klopatra là phần mềm độc hại tinh vi, kết hợp công cụ điều khiển từ xa (RAT) với Hidden VNC cho phép tin tặc kiểm soát toàn bộ điện thoại bị nhiễm. Bằng cách sử dụng lớp phủ động (dynamic overlay), kẻ tấn công có thể đánh cắp thông tin đăng nhập ngân hàng và thực hiện giao dịch gian lận.
Trojan ngân hàng Android mới "Klopatra" sử dụng VNC ẩn để điều khiển điện thoại thông minh bị nhiễm.
Các nhà nghiên cứu cho biết Klopatra được xây dựng bằng thư viện gốc (native libraries) và tích hợp Virbox – bộ công cụ bảo vệ mã thương mại hiếm khi thấy trong các mối đe dọa Android, khiến nó khó bị phát hiện và phân tích. Dữ liệu hạ tầng C2 cùng dấu vết ngôn ngữ cho thấy trojan này có thể do một nhóm tội phạm nói tiếng Thổ Nhĩ Kỳ vận hành dưới dạng botnet riêng, thay vì bán công khai theo mô hình MaaS. Từ tháng 3/2025 đến nay, đã có ít nhất 40 phiên bản khác nhau được phát hiện.
Chuỗi tấn công của Klopatra thường lợi dụng ứng dụng IPTV giả mạo để dụ người dùng tải về. Sau khi cài đặt, ứng dụng yêu cầu quyền cài gói từ nguồn không xác định, rồi giải nén và kích hoạt payload chính. Sau đó, trojan tìm cách chiếm quyền dịch vụ trợ năng (Accessibility Services) để theo dõi màn hình, ghi lại thao tác, tự động thực hiện giao dịch và giả mạo các màn hình đăng nhập ngân hàng hoặc ví tiền số.
Một điểm nguy hiểm là Klopatra có thể giảm độ sáng màn hình xuống 0, tạo màn hình đen khi thiết bị đang sạc hoặc không được sử dụng. Trong lúc đó, tin tặc lén truy cập ứng dụng ngân hàng, dùng mã PIN đã đánh cắp và rút tiền qua nhiều giao dịch nhanh.
Ngoài ra, phần mềm độc hại này có khả năng tự cấp thêm quyền, gỡ bỏ các ứng dụng diệt virus được định danh, và hiển thị lớp phủ giả để chiếm thông tin đăng nhập. Các hoạt động gian lận thường diễn ra vào ban đêm – khi nạn nhân ngủ và thiết bị đang cắm sạc, đảm bảo kết nối internet ổn định.
Tập đoàn công nghệ Google cho biết chưa phát hiện ứng dụng nào chứa Klopatra trên Google Play. Người dùng Android vẫn được bảo vệ mặc định nhờ Google Play Protect, hệ thống có khả năng cảnh báo hoặc chặn cài đặt ứng dụng độc hại kể cả khi tải từ nguồn bên ngoài.
Các chuyên gia cảnh báo, người dùng không nên tải ứng dụng từ nguồn không tin cậy, đặc biệt là ứng dụng IPTV hoặc dịch vụ giải trí lậu, đồng thời cần kiểm tra thường xuyên hoạt động ngân hàng để phát hiện bất thường.
Duy Trinh (theo The Hacker News)
