Liệu bạn có tin rằng mã độc giờ đây đã biết cách lợi dụng công nghệ blockchain để trốn tránh sự truy lùng? Các nhà nghiên cứu an ninh mạng vừa phát hiện phiên bản mới của trojan ngân hàng TrickMo sử dụng mạng The Open Network (TON) làm kênh điều khiển từ xa (command-and-control). Đây là bước tiến hóa đáng lo ngại trong thế giới mã độc, khi tội phạm mạng bắt đầu khai thác những công nghệ tiên tiến nhất để tấn công người dùng. Từ tháng 1 đến tháng 2/2026, ThreatFabric đã ghi nhận hoạt động tích cực của biến thể mới này nhắm vào người dùng ngân hàng và ví tiền điện tử tại Pháp, Italy và Áo.

Khi mã độc học cách sử dụng blockchain

TrickMo không còn là trojan ngân hàng thông thường mà chúng ta từng biết. Phiên bản mới này đã tích hợp khả năng sử dụng mạng TON - cùng một blockchain được sử dụng bởi ứng dụng nhắn tin Telegram - để thiết lập kênh liên lạc với máy chủ điều khiển. Điều này có nghĩa là thay vì dựa vào các máy chủ C2 truyền thống dễ bị phát hiện, TrickMo giờ đây ẩn mình trong một mạng lưới phi tập trung khổng lồ.

Chúng tôi cho rằng đây là một bước ngoặt nguy hiểm trong chiến thuật của tội phạm mạng. Việc sử dụng TON không chỉ giúp mã độc trốn tránh các hệ thống phát hiện truyền thống, mà còn tạo ra một lớp bảo vệ pháp lý phức tạp. Khi hoạt động trên blockchain phi tập trung, việc xác định và ngăn chặn nguồn gốc tấn công trở nên cực kỳ khó khăn cho các cơ quan thực thi pháp luật.

Công nghệ SOCKS5 và module APK động

TrickMo mới không chỉ dừng lại ở việc sử dụng blockchain. Mã độc này còn tích hợp công nghệ SOCKS5 proxy để tạo ra các "điểm xoay" (network pivots) trên thiết bị Android bị nhiễm. SOCKS5 là giao thức proxy cho phép chuyển tiếp lưu lượng mạng một cách linh hoạt, biến thiết bị nạn nhân thành cầu nối để thực hiện các cuộc tấn công khác.

Đặc biệt đáng chú ý là khả năng tải module APK động (dex.module) của TrickMo. Điều này có nghĩa là mã độc có thể tự cập nhật và thêm chức năng mới mà không cần cài đặt lại hoàn toàn. Theo phân tích của chúng tôi, đây chính là yếu tố giúp TrickMo duy trì hoạt động lâu dài và thích ứng nhanh chóng với các biện pháp phòng thủ mới.

Tác động nghiêm trọng đến người dùng ngân hàng số

Các cuộc tấn công đang diễn ra tại ba quốc gia châu Âu cho thấy mức độ tinh vi của chiến dịch này. TrickMo không chỉ đánh cắp thông tin đăng nhập ngân hàng mà còn nhắm vào ví tiền điện tử - lĩnh vực đang phát triển mạnh mẽ và chứa đựng giá trị tài sản khổng lồ. Việt Nam, với hơn 31 triệu người dùng ngân hàng số và tỷ lệ sử dụng ví điện tử tăng 40% trong năm qua, hoàn toàn có thể trở thành mục tiêu tiếp theo.

Chúng tôi đánh giá rằng tác động của TrickMo vượt xa việc đánh cắp tiền. Khi thiết bị trở thành "điểm xoay" trong mạng lưới tội phạm, người dùng vô tình trở thành đồng phạm trong các hoạt động bất hợp pháp khác. Điều này có thể dẫn đến hậu quả pháp lý nghiêm trọng cho chính nạn nhân.

Hướng dẫn bảo vệ khẩn cấp cho người dùng Việt

Trước nguy cơ TrickMo có thể lan sang Việt Nam, người dùng cần thực hiện ngay các biện pháp bảo vệ sau: Thứ nhất, chỉ tải ứng dụng ngân hàng từ Google Play Store hoặc App Store chính thức, tuyệt đối không cài đặt APK từ nguồn không rõ ràng. Thứ hai, bật tính năng Google Play Protect và thường xuyên quét thiết bị bằng phần mềm diệt virus uy tín như Kaspersky Mobile Security hay Bitdefender Mobile Security.

Đặc biệt quan trọng là kiểm tra quyền ứng dụng một cách thường xuyên. Nếu phát hiện ứng dụng nào yêu cầu quyền "Accessibility" (trợ năng) hoặc "Device Administrator" (quản trị thiết bị) mà không có lý do chính đáng, hãy gỡ cài đặt ngay lập tức. Cuối cùng, người dùng nên sử dụng xác thực hai yếu tố (2FA) cho tất cả tài khoản ngân hàng và ví tiền điện tử, đồng thời theo dõi thường xuyên các giao dịch bất thường.