Ngày 18/6/2025, hãng bảo mật Zimperium phát đi cảnh báo khẩn về sự tiến hóa nguy hiểm của mã độc GodFather – phần mềm độc hại đang nhắm vào hàng trăm ứng dụng ngân hàng, tài chính và tiền mã hóa trên toàn cầu, với thủ đoạn tinh vi vượt xa các kỹ thuật tấn công truyền thống.

Theo nhóm nghiên cứu zLabs, GodFather không còn sử dụng cách giả mạo màn hình đăng nhập để đánh cắp thông tin, mà đã chuyển sang một hình thức tấn công mới – ảo hóa ứng dụng trên thiết bị (on-device virtualization). Theo đó, mã độc cài đặt một ứng dụng “chủ nhà” chứa framework ảo hóa, sau đó tải và chạy phiên bản thực của ứng dụng ngân hàng trong một không gian riêng biệt do chính mã độc kiểm soát.

Khi người dùng mở ứng dụng ngân hàng, họ thực chất đang thao tác trong bản sao bị ảo hóa và giám sát hoàn toàn. Mọi cú nhấn, nhập dữ liệu, mật khẩu, mã PIN... đều bị ghi lại, phân tích và có thể bị đánh cắp theo thời gian thực. Đáng nói, vì ứng dụng ngân hàng là bản thật (chứ không phải bản giả mạo), nên người dùng khó lòng nhận biết rủi ro.

Kỹ thuật ảo hóa cho phép hacker theo dõi toàn bộ quá trình hoạt động của ứng dụng trong môi trường “hộp cát”, dễ dàng bẻ khóa các lớp bảo vệ, vượt qua các cơ chế phát hiện root, và can thiệp sâu vào hệ thống mà không bị phát hiện. Theo Zimperium, chiến dịch mới của GodFather hiện tập trung chủ yếu vào 12 ngân hàng tại Thổ Nhĩ Kỳ, song đã mở rộng phạm vi nhắm đến hơn 480 ứng dụng toàn cầu – từ ngân hàng lớn ở Mỹ, Anh, Canada cho đến các ví tiền mã hóa phổ biến như Binance, Trust Wallet...

Zimperium khẳng định đây là “bước nhảy vọt về khả năng lẩn tránh và độ nguy hiểm”, vượt xa các mã độc trước đó như FjordPhantom. Một trong những thủ đoạn tinh vi là mã độc giả lập thông báo cập nhật phần mềm hoặc yêu cầu quyền truy cập Accessibility, đánh lừa người dùng cài thêm các thành phần nguy hiểm.

GodFather sử dụng các công cụ mã nguồn mở hợp pháp như VirtualApp, XposedInstaller... để tạo môi trường ảo và móc vào các API nhạy cảm. Mã độc cũng có thể giả mạo các màn hình khoá thiết bị, thu thập mã mở khoá (PIN, mật khẩu hoặc hình vẽ), và giao tiếp ngầm với máy chủ điều khiển (C2) thông qua dữ liệu đã mã hoá.

Một điểm đáng lo ngại là mã độc điều khiển thiết bị từ xa bằng một loạt lệnh chuyên biệt, như vuốt màn hình, mở ứng dụng, thao tác chạm giả, thậm chí giả lập các hành động người dùng để vượt qua bước xác minh đa lớp.

Không chỉ ngân hàng, danh sách mục tiêu còn mở rộng ra các nền tảng thương mại điện tử, thanh toán, ví điện tử, mạng xã hội và ứng dụng nhắn tin phổ biến. Những cái tên như WhatsApp, Telegram, Facebook, Amazon, Netflix, Grab, eBay... đều bị mã độc dò tìm và có thể khai thác.

Chuyên gia cảnh báo: Xóa ngay ứng dụng này nếu không muốn mất sạch tiền trong tài khoản ngân hàng
Ngày 18/6/2025, hãng bảo mật Zimperium phát đi cảnh báo khẩn về sự tiến hóa nguy hiểm của mã độc GodFather – phần mềm độc hại đang nhắm vào hàng trăm ứng dụng ngân hàng.

Zimperium nhấn mạnh rằng người dùng hoàn toàn không thể phát hiện ra dấu hiệu bị tấn công bằng mắt thường, bởi mọi hành vi diễn ra trong môi trường ảo được ngụy trang kỹ lưỡng.

Các chuyên gia khuyến cáo người dùng:

  1. Không cài đặt ứng dụng từ nguồn không chính thức.
  2. Không cấp quyền Accessibility cho các ứng dụng không rõ ràng.
  3. Thường xuyên cập nhật phần mềm bảo mật và kiểm tra quyền truy cập hệ thống.
  4. Sử dụng ứng dụng ngân hàng chính chủ từ Google Play hoặc App Store.
  5. Doanh nghiệp và ngân hàng cần triển khai các lớp xác thực mạnh hơn, đặc biệt là xác thực sinh trắc học và bảo vệ phía máy chủ.

Với khả năng tấn công trực tiếp các ứng dụng thật và đánh cắp dữ liệu trong thời gian thực, mã độc GodFather đang đe dọa niềm tin cốt lõi vào thiết bị di động, nơi mà cả ngân hàng số lẫn ví tiền mã hóa đều đang phát triển mạnh mẽ.

Zimperium kết luận: “Khi thiết bị chính chủ bị biến thành công cụ do hacker điều khiển, bất kỳ ứng dụng hợp pháp nào cũng có thể trở thành mối nguy, bất kể người dùng có cẩn trọng đến đâu”.