Mã độc Android mới FVNCBOT và SEEDSNATCHER đang "móc túi" tiền ảo và tài khoản ngân hàng

08/12/2025 08:00:00

Các chuyên gia an ninh mạng vừa phát hiện hai dòng mã độc Android cực kỳ nguy hiểm là FVNCBot và SeedSnatcher. Chúng không chỉ đánh cắp tài khoản ngân hàng bằng công nghệ điều khiển từ xa mà còn "săn lùng" cụm từ khôi phục ví tiền điện tử (seed phrase) của người dùng.

Mối nguy hiểm mới đe dọa người dùng Android

Trong bối cảnh điện thoại thông minh trở thành "vật bất ly thân" chứa mọi tài sản số từ tài khoản ngân hàng đến ví tiền điện tử, tội phạm mạng đã tung ra những "vũ khí" mới tinh vi hơn.

Gần đây, các nhà nghiên cứu bảo mật đã phát đi cảnh báo về sự xuất hiện của hai dòng mã độc (malware) hoàn toàn mới tấn công người dùng Android: FVNCBot và SeedSnatcher. Điểm đáng sợ là chúng được viết mới hoàn toàn, sở hữu những kỹ thuật vượt qua các lớp bảo mật hiện đại của Google (kể cả trên Android 13 trở lên) để chiếm quyền kiểm soát thiết bị và đánh cắp tài sản.

1. FVNCBot: "Bàn tay vô hình" rút tiền ngân hàng

FVNCBot là một loại mã độc ngân hàng (Banking Trojan) hoạt động rất tinh vi. Thay vì chỉ đánh cắp mật khẩu đơn thuần, nó sử dụng kỹ thuật HVNC (Hidden Virtual Network Computing).

Cách thức hoạt động: Hãy tưởng tượng tin tặc có thể nhìn thấy và điều khiển màn hình điện thoại của bạn từ xa, thực hiện các thao tác vuốt, chạm y như bạn đang cầm máy, nhưng tất cả đều diễn ra "ngầm" hoặc bị che giấu đi.
Thủ đoạn lừa đảo: Nó thường ngụy trang dưới vỏ bọc của các ứng dụng bảo mật hoặc tiện ích. Khi cài đặt, nó sẽ lừa người dùng cấp Quyền trợ năng (Accessibility Services). Một khi có quyền này, FVNCBot có thể tự động cấp thêm các quyền khác cho chính nó, tự ghi lại thao tác bàn phím (keylogging) và thậm chí vượt qua các rào cản bảo mật của Android 13 để cài cắm sâu vào hệ thống.
Mục tiêu: Nhắm trực tiếp vào các ứng dụng ngân hàng, chặn tin nhắn OTP và thực hiện các giao dịch gian lận ngay trên thiết bị của nạn nhân.

2. SeedSnatcher: "Kẻ săn mồi" ví tiền điện tử

Nếu FVNCBot nhắm vào ngân hàng, thì SeedSnatcher lại là cơn ác mộng cho những nhà đầu tư tiền ảo (Crypto).

Cách thức hoạt động: Mã độc này nằm vùng trên điện thoại và theo dõi thói quen sử dụng của bạn. Ngay khi bạn mở một ứng dụng ví tiền điện tử (như MetaMask, Trust Wallet, Coinbase...), SeedSnatcher sẽ lập tức kích hoạt.
Chiêu thức "Giả mạo giao diện": Nó sẽ phủ một lớp màn hình giả mạo (Overlay) lên trên ứng dụng thật. Màn hình này yêu cầu bạn nhập Seed Phrase (cụm 12-24 từ khóa khôi phục ví) với lý do "xác minh bảo mật" hoặc "nâng cấp ví". Nếu bạn nhập vào, toàn bộ tiền trong ví sẽ bị tin tặc chiếm đoạt ngay lập tức.
Đánh cắp hình ảnh: Nguy hiểm hơn, SeedSnatcher còn có khả năng quét bộ nhớ điện thoại để tìm kiếm và đánh cắp các ảnh chụp màn hình (screenshot) mà người dùng thường sai lầm lưu lại để ghi nhớ seed phrase.

Lời khuyên của chuyên gia để phòng tránh rủi ro

Để bảo vệ tài sản của mình trước làn sóng tấn công của FVNCBot và SeedSnatcher, tôi khuyến nghị người dùng thực hiện ngay các biện pháp sau:

Tuyệt đối không cài ứng dụng lạ (Sideload): Chỉ tải ứng dụng từ cửa hàng chính thức Google Play Store. Tránh xa các file cài đặt .apk từ các trang web không rõ nguồn gốc hoặc được gửi qua tin nhắn Zalo, Telegram.
Cảnh giác với "Quyền Trợ Năng" (Accessibility): Nếu một ứng dụng (không phải ứng dụng hỗ trợ người khuyết tật) yêu cầu cấp quyền Accessibility, hãy từ chối ngay lập tức và gỡ bỏ nó. Đây là chìa khóa để mã độc chiếm quyền kiểm soát máy.
Bảo vệ Seed Phrase tuyệt đối:
- Không bao giờ chụp ảnh màn hình lưu seed phrase trong thư viện ảnh.
- Không lưu seed phrase trên các ứng dụng ghi chú (Notes) hoặc tin nhắn đám mây.
- Nên ghi chép ra giấy và cất giữ nơi an toàn vật lý.
Sử dụng phần mềm bảo mật uy tín: Cài đặt các ứng dụng diệt virus có tiếng tăm để quét và phát hiện sớm các mối đe dọa.
Cập nhật hệ điều hành: Luôn cập nhật Android lên phiên bản mới nhất để nhận các bản vá lỗ hổng bảo mật từ Google.