Làm thế nào để một phần mềm độc hại có thể trở nên hoàn toàn vô hình trước mắt các hệ thống phòng thủ hiện đại nhất? Câu trả lời nằm ở biến thể mới của TrickMo - một trong những mã độc ngân hàng nguy hiểm nhất trên Android hiện nay. Thay vì sử dụng các máy chủ điều khiển truyền thống dễ bị phát hiện, nhóm tin tặc đã áp dụng công nghệ blockchain TON (The Open Network) để giao tiếp bí mật với các thiết bị bị nhiễm. Động thái này đánh dấu bước tiến vô cùng nguy hiểm trong cuộc đua vũ trang giữa tội phạm mạng và các chuyên gia bảo mật.

Khi blockchain trở thành vũ khí của tội phạm mạng

TrickMo không phải cái tên xa lạ trong làng bảo mật. Được phát hiện lần đầu vào năm 2019, malware này đã gây ra hàng triệu USD thiệt hại cho các ngân hàng và người dùng trên toàn cầu. Tuy nhiên, biến thể mới nhất của TrickMo đã làm chúng tôi phải giật mình khi chứng kiến sự tinh vi chưa từng có. Thay vì dựa vào các máy chủ C&C (Command and Control - máy chủ điều khiển) thông thường, tin tặc đã tích hợp blockchain TON để truyền tải lệnh điều khiển một cách hoàn toàn ẩn danh.

Việc sử dụng TON blockchain không phải là quyết định ngẫu nhiên. TON được phát triển bởi nhóm sáng lập Telegram và hoạt động theo mô hình phi tập trung hoàn toàn. Điều này có nghĩa là không có máy chủ trung tâm nào có thể bị tắt hoặc theo dõi bởi cơ quan chức năng. Các giao dịch và thông điệp trên TON được mã hóa và phân tán trên hàng nghìn node khắp thế giới, tạo ra một mạng lưới giao tiếp bất khả xâm phạm cho những kẻ tấn công.

Phẫu thuật một cuộc tấn công hoàn hảo

Cơ chế hoạt động của TrickMo phiên bản mới cho thấy sự chuẩn bị kỹ lưỡng đáng sợ. Sau khi xâm nhập vào thiết bị Android thông qua các ứng dụng giả mạo ngân hàng, malware sẽ thiết lập kết nối với blockchain TON thay vì liên lạc với máy chủ C&C truyền thống. Mọi lệnh điều khiển từ nhóm tin tặc đều được đóng gói thành các smart contract (hợp đồng thông minh) trên TON và gửi đến từng thiết bị bị nhiễm một cách hoàn toàn bí mật.

Chúng tôi nhận thấy rằng TrickMo mới còn tích hợp thêm nhiều tính năng tấn công tinh vi khác. Malware có khả năng thu thập mã OTP (One-Time Password) từ tin nhắn SMS, chụp ảnh màn hình khi người dùng nhập thông tin ngân hàng, và thậm chí có thể kiểm soát hoàn toàn thiết bị từ xa. Đặc biệt nguy hiểm, biến thể này có thể tự cập nhật và tải xuống các module tấn công mới mà không cần sự can thiệp từ tin tặc.

Mối đe dọa không thể đo lường được

Theo báo cáo từ các công ty bảo mật hàng đầu châu Âu, TrickMo đã nhắm mục tiêu vào hơn 30 ngân hàng lớn tại Đức, Ý, Tây Ban Nha và một số quốc gia khác. Ước tính sơ bộ cho thấy có ít nhất 50.000 thiết bị Android đã bị nhiễm biến thể mới này chỉ trong vòng 2 tháng qua. Con số này có thể còn cao hơn nhiều vì đặc tính ẩn mình hoàn hảo của malware khiến việc phát hiện trở nên cực kỳ khó khăn.

Tại Việt Nam, mặc dù chưa ghi nhận ca nhiễm TrickMo nào, chúng tôi cho rằng đây chỉ là vấn đề thời gian. Với hơn 31% dân số sử dụng dịch vụ ngân hàng điện tử và tỷ lệ sở hữu smartphone Android lên đến 85%, Việt Nam chính là mục tiêu béo bở tiếp theo của những kẻ tấn công. Đặc biệt, thói quen tải ứng dụng từ các nguồn không chính thức vẫn còn phổ biến tại thị trường trong nước.

Lá chắn bảo vệ trong thời đại blockchain malware

Trước mối đe dọa mới này, người dùng Việt Nam cần thực hiện ngay các biện pháp phòng thủ cơ bản nhưng hiệu quả. Đầu tiên và quan trọng nhất, tuyệt đối chỉ tải ứng dụng ngân hàng từ Google Play Store hoặc trực tiếp từ website chính thức của ngân hàng. Thứ hai, bật tính năng "Play Protect" trên Android và cập nhật hệ điều hành thường xuyên để vá các lỗ hổng bảo mật mới nhất.

Chúng tôi khuyến cáo mạnh mẽ người dùng nên sử dụng thêm lớp bảo mật sinh trắc học như vân tay hoặc FaceID cho mọi giao dịch ngân hàng. Quan trọng không kém, hãy thường xuyên kiểm tra danh sách ứng dụng đã cài đặt và gỡ bỏ những ứng dụng lạ hoặc không nhớ đã tải. Cuối cùng, nếu phát hiện bất kỳ giao dịch bất thường nào, hãy liên hệ ngay với ngân hàng và thay đổi toàn bộ mật khẩu, PIN liên quan đến tài khoản.