Cảnh Báo Khẩn Cấp: Mã Độc FvncBot Tấn Công Ngân Hàng Di Động

Giới Thiệu về Mã Độc Ngân Hàng FvncBot Mới

Một ứng dụng độc hại mới và nguy hiểm đã xuất hiện, nhắm mục tiêu vào khách hàng ngân hàng di động. Được phát hiện vào ngày 25 tháng 11 năm 2025, mối đe dọa này ngụy trang thành một công cụ bảo mật hợp pháp, được cho là của mBank, một tổ chức tài chính lớn.

Ứng dụng này đóng vai trò là cửa ngõ cho một biến thể mã độc ngân hàng FvncBot hoạt động âm thầm trong nền, không để lại dấu vết rõ ràng cho người dùng cuối.

Bằng cách bắt chước phần mềm ngân hàng đáng tin cậy, các tác nhân đe dọa thành công lừa người dùng cài đặt phần mềm độc hại. Sau đó, mã độc FvncBot này tìm cách chiếm đoạt tài khoản tài chính của nạn nhân thông qua các kỹ thuật giám sát tinh vi và can thiệp trực tiếp vào giao dịch.

Cơ Chế Lây Nhiễm và Đánh Lừa Người Dùng

Quá trình lây nhiễm bắt đầu khi ứng dụng giả mạo nhắc người dùng cài đặt thêm một thành phần “Play” phụ trợ. Ứng dụng này tuyên bố rằng thành phần đó là bắt buộc để đảm bảo sự ổn định của hệ thống.

Đây là một thủ đoạn quan trọng được thiết kế để vượt qua các hạn chế bảo mật trên các thiết bị Android hiện đại. Trình tải độc hại sử dụng quyền này để triển khai tải trọng (payload), đảm bảo nó có thể hoạt động liên tục trên điện thoại của nạn nhân.

Kỹ thuật social engineering này làm giảm cảnh giác của người dùng một cách hiệu quả, cho phép mối đe dọa thiết lập chỗ đứng trước khi bất kỳ hành vi đánh cắp dữ liệu nào bắt đầu. Sự tin tưởng của người dùng vào các ứng dụng ngân hàng và công cụ bảo mật giả mạo là yếu tố then chốt giúp mã độc FvncBot thành công.

Khám Phá Tính Năng Kỹ Thuật của Mã Độc FvncBot

Các nhà nghiên cứu tại Intel 471 đã xác định chủng loại cụ thể này và đặt tên là FvncBot. Họ lưu ý rằng mã lập trình của nó hoàn toàn nguyên bản và không bắt nguồn từ các mã nguồn bị rò rỉ của các mã độc ngân hàng nổi tiếng khác. Điều này cho thấy một nhóm các nhà phát triển mới chịu trách nhiệm tạo ra mã độc FvncBot.

FvncBot triển khai các tính năng xâm lấn để đánh cắp tiền, chủ yếu bằng cách ghi lại các lần gõ phím (keystroke logging) và chụp nội dung màn hình (screen content capturing). Các dữ liệu nhạy cảm như thông tin đăng nhập, OTP (One-Time Password) và chi tiết giao dịch đều có thể bị thu thập.

Nó cũng sử dụng tính năng Hidden Virtual Network Computing (VNC). Kỹ thuật này cho phép tội phạm mạng thực hiện các hành động trên thiết bị bị nhiễm từ xa. Điều này tạo điều kiện thuận lợi cho các giao dịch gian lận trong khi nạn nhân vẫn không hề hay biết về các thao tác đang diễn ra.

Khai Thác Dịch Vụ Hỗ Trợ (Accessibility Services) để Chiếm Quyền Điều Khiển

Một trong những khía cạnh đáng báo động nhất của mã độc FvncBot là khả năng thao túng các dịch vụ hỗ trợ (accessibility services) của Android để duy trì quyền kiểm soát.

Sau khi cài đặt, phần mềm độc hại này sẽ liên tục yêu cầu các đặc quyền cấp cao này, hướng dẫn nạn nhân đến cài đặt hệ thống để phê duyệt. Nếu người dùng tuân thủ, mã độc FvncBot sẽ có khả năng đọc văn bản trên màn hình và theo dõi mọi thao tác chạm.

Với các dịch vụ hỗ trợ được bật, mã độc FvncBot có thể thu thập dữ liệu từ bất kỳ ứng dụng nào đang mở, bao gồm cả các cổng ngân hàng an toàn. Nó ghi lại các chi tiết này vào một bộ đệm lưu trữ và truyền chúng đến một máy chủ từ xa (C2 server).

Hơn nữa, phần mềm độc hại này thiết lập một kết nối tốc độ cao bằng cách sử dụng WebSockets. Kết nối này cho phép những kẻ điều khiển ra lệnh ngay lập tức và hiệu quả. Việc thiết lập này cho phép chúng truyền trực tiếp màn hình của nạn nhân và thao túng thiết bị từ xa để thực hiện hành vi gian lận tài chính.

Biện Pháp Phòng Ngừa và Nâng Cao An Ninh Mạng

Để đảm bảo an toàn, người dùng được khuyến cáo mạnh mẽ tránh cài đặt các ứng dụng ngân hàng từ các trang web không chính thức hoặc từ kết quả tìm kiếm tự nhiên. Việc này giúp ngăn chặn các lây nhiễm nguy hiểm như mã độc FvncBot.

• Chỉ tải xuống ứng dụng từ các cửa hàng ứng dụng chính thức như Google Play Store.
• Luôn kiểm tra quyền mà ứng dụng yêu cầu trước khi cài đặt.
• Cẩn thận với các yêu cầu cấp quyền truy cập vào Accessibility Services từ các ứng dụng không phải là công cụ hỗ trợ chuyên biệt.
• Đảm bảo hệ điều hành và các ứng dụng luôn được cập nhật phiên bản mới nhất để khắc phục các lỗ hổng đã biết.
• Sử dụng giải pháp bảo mật di động đáng tin cậy để phát hiện và ngăn chặn các mối đe dọa.