An ninh mạng

Cảnh báo malware Rokarolla: Mối đe dọa mới trên Android đánh cắp mã PIN và tiền điện tử

Các nhà nghiên cứu bảo mật vừa phát hiện Rokarolla, một trojan ngân hàng trên Android có khả năng kiểm soát thiết bị, đánh cắp mã PIN, tin nhắn SMS và chiếm đoạt tài sản trong các ví tiền điện...

Nguyen Hung
16 Tháng 6, 2026 2 Min Read
1 0

Các chuyên gia bảo mật tại zLabs thuộc Zimperium vừa đưa ra cảnh báo về một loại trojan ngân hàng mới trên Android mang tên Rokarolla. Mã độc này được thiết kế để nhắm mục tiêu vào hơn 200 ứng dụng ngân hàng và ví tiền điện tử, đồng thời sở hữu khả năng thực thi hàng trăm lệnh điều khiển từ xa.

Table Of Content

Cơ chế tấn công tinh vi

Rokarolla hoạt động bằng cách chiếm quyền kiểm soát gần như toàn bộ thiết bị của nạn nhân. Sau khi xâm nhập, nó có thể thu thập mã PIN màn hình khóa, đọc và gửi tin nhắn SMS, can thiệp vào clipboard để đánh tráo địa chỉ ví tiền điện tử, và vô hiệu hóa Google Play Protect để tránh bị phát hiện.

Mã độc này thường phát tán thông qua các trang web giả mạo, đóng giả các ứng dụng phổ biến như TikTok hoặc Chrome. Khi người dùng cài đặt, một ứng dụng dropper sẽ được kích hoạt, yêu cầu quyền Accessibility (Trợ năng). Đây chính là “chìa khóa” giúp Rokarolla thực hiện các hành vi độc hại, bao gồm việc tự động tắt các tính năng bảo mật của hệ thống.

Đánh cắp thông tin qua lớp phủ (Overlay)

Điểm nguy hiểm của Rokarolla nằm ở khả năng hiển thị các trang đăng nhập giả mạo (overlay) đè lên ứng dụng ngân hàng thật. Khi người dùng mở ứng dụng tài chính, mã độc sẽ tải xuống một giao diện HTML giả để thu thập thông tin đăng nhập và chi tiết thẻ ngân hàng. Thậm chí, nó còn giả mạo màn hình khóa Android để đánh cắp mã PIN hoặc mật khẩu mở khóa thiết bị.

Ngoài ra, Rokarolla còn có khả năng:

  • Giám sát tin nhắn: Đọc và chặn tin nhắn SMS chứa mã OTP ngân hàng.
  • Kiểm soát cuộc gọi: Tự thiết lập làm ứng dụng mặc định để chặn các cảnh báo từ ngân hàng.
  • Ghi lại màn hình: Chụp ảnh màn hình thông qua quyền Accessibility thay vì sử dụng MediaProjection, giúp hành vi này diễn ra âm thầm và khó bị phát hiện hơn.

Khuyến cáo bảo mật

Vì đây là một loại malware chứ không phải lỗi phần mềm (vulnerability), người dùng không thể trông chờ vào các bản vá (patch). Các chuyên gia khuyến nghị:

  • Chỉ cài đặt ứng dụng từ cửa hàng Google Play chính thức.
  • Luôn bật tính năng Google Play Protect.
  • Cảnh giác cao độ với bất kỳ ứng dụng nào yêu cầu quyền Accessibility, vì đây là quyền hạn nguy hiểm nhất mà kẻ tấn công thường lợi dụng để thực thi chuỗi tấn công.

Hiện tại, Zimperium đã cập nhật khả năng phát hiện dòng malware này trong các sản phẩm bảo mật của mình và chia sẻ các chỉ số thỏa hiệp (IOC) trên GitHub để cộng đồng cùng phòng tránh.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept