Virus Android Albiriox chiếm quyền điều khiển điện thoại, 'thó' tiền của người dùng trong vài phút

[Kaya]

Một dòng mã độc Android mới mang tên Albiriox đang khiến giới an ninh mạng, đặc biệt tại châu Âu phải bật báo động vì khả năng chiếm quyền điều khiển toàn bộ điện thoại theo thời gian thực và vượt qua mọi biện pháp bảo vệ của ngân hàng. Nguy hiểm hơn, Albiriox đang được bán như một dịch vụ thương mại, nghĩa là bất kỳ kẻ xấu nào cũng có thể bỏ tiền để thuê và tấn công người dùng.

Mối đe dọa mới từ “chợ đen” tội phạm mạng​

Theo báo cáo của các chuyên gia tại Cleafy, Albiriox xuất hiện trên các diễn đàn ngầm từ tháng 9/2025. Chỉ sau vài tuần thử nghiệm, công cụ này đã được mở bán rộng rãi dưới dạng Malware-as-a-Service, với giá thuê 650 USD mỗi tháng.

Mức giá này tưởng chừng cao nhưng đổi lại kẻ tấn công nhận được một bộ công cụ hoàn chỉnh: cài vào điện thoại của nạn nhân, chiếm quyền điều khiển từ xa, xem màn hình trực tiếp và thực hiện giao dịch ngân hàng ngay trên thiết bị của chính nạn nhân mà các biện pháp chống gian lận truyền thống rất khó phát hiện.

Bị phát hiện sau các vụ lừa đảo qua ứng dụng giả​

Các nhà nghiên cứu bắt đầu chú ý đến Albiriox sau hàng loạt vụ người dùng tại Áo bị lừa cài đặt một ứng dụng "Penny Market" giả mạo. Người bị tấn công thường nhận được tin nhắn SMS quảng cáo khuyến mãi, kèm đường link dẫn đến một trang Google Play giả.

Khi cài ứng dụng, người dùng vô tình kích hoạt một “trình mở đường”. Ứng dụng này âm thầm tải xuống mã độc Albiriox thật từ máy chủ điều khiển và bắt đầu chiếm quyền thiết bị.

Những chiến dịch mới hơn thậm chí còn chuyển sang dụ nạn nhân qua WhatsApp, yêu cầu nhập số điện thoại để gửi link tải (cách lọc đối tượng khá tinh vi nhằm nhắm đúng người dùng tại một quốc gia cụ thể).

Cách Albiriox chiếm quyền điện thoại và vượt qua bảo mật ngân hàng​

Điểm khiến Albiriox nguy hiểm hơn nhiều mã độc Android thông thường nằm ở khả năng điều khiển thiết bị theo thời gian thực.

Ngay sau khi được cài vào máy, Albiriox yêu cầu quyền Truy cập đặc biệt. Khi người dùng nhấn đồng ý mã độc gần như ngay lập tức có thể:

• Xem mọi nội dung hiển thị trên màn hình,
• Bấm, vuốt, mở ứng dụng thay cho người dùng,
• Ghi lại thao tác bàn phím (keylogging),
• Đặt lớp giao diện giả mạo để đánh cắp mã OTP,
• Phát trực tiếp màn hình của nạn nhân về máy chủ hacker qua công nghệ VNC.

Nói cách khác, kẻ tấn công có thể thao tác với điện thoại của nạn nhân như… đang cầm trên tay, từ mở ứng dụng ngân hàng tới chuyển tiền, duyệt OTP và thực hiện việc này khi nạn nhân không hề nhận ra.

Đây là kỹ thuật On-Device Fraud (gian lận ngay trên thiết bị), vốn là nỗi ám ảnh lớn nhất của ngành ngân hàng vì cực kỳ khó phát hiện và gần như vượt qua mọi lớp bảo vệ như xác thực hai yếu tố (2FA), nhận diện thiết bị lạ hay phân tích hành vi đăng nhập.

Vì sao Albiriox khiến các nhà nghiên cứu đặc biệt lo ngại?​

Có nhiều lý do khiến giới chuyên môn đánh giá đây là một trong những mã độc Android nguy hiểm nhất năm 2025:

• Khả năng tàng hình cao: Albiriox sử dụng dịch vụ “Golden Crypt” để che giấu mã độc khỏi các phần mềm diệt virus.
• Hoạt động như một dịch vụ thương mại: Bất kỳ ai cũng có thể thuê để sử dụng vào mục đích xấu.
• Điều khiển thiết bị theo thời gian thực, không cần bot tự động nên tỉ lệ thành công rất cao.
• Dễ mở rộng sang các quốc gia khác, đặc biệt là nơi người dùng hay tải app qua link và ngân hàng vẫn dùng OTP qua SMS.

Dù mới bùng phát tại châu Âu, mô hình lây lan của Albiriox hoàn toàn có thể xuất hiện ở Việt Nam, người dùng dù ở bất cứ đâu nếu bị dụ cài ứng dụng “khuyến mãi”, “trúng thưởng” hoặc “xác minh đơn hàng” qua link là đều có thể bị "dính", không loại trừ ai.

Người dùng chịu ảnh hưởng như thế nào?​

Một khi điện thoại đã nhiễm Albiriox, hậu quả xảy ra gần như ngay tức thì:

• Tài khoản ngân hàng có thể bị rút sạch tiền.
• Điện thoại có dấu hiệu tự bấm, tự mở ứng dụng dù người dùng không thao tác.
• Mọi thông tin cá nhân (tên, địa chỉ, tài khoản MXH, email, mã PIN…) đều bị lộ.
• Hacker có thể tiếp tục sử dụng thiết bị để lừa đảo người thân, đồng nghiệp của nạn nhân.

Mọi việc diễn ra ngay trên điện thoại của chính nạn nhân và gần như ngay tức khắc nên gần như rất khó để nhận biết hya ngăn chặn kịp thời. Nếu gặp những biểu hiện sau, bạn nên cảnh giác:

• Điện thoại tự mở ứng dụng hoặc tự bấm nút.
• Máy yêu cầu quyền “Accessibility” hoặc “Cài ứng dụng không rõ nguồn gốc” nhiều lần.
• Xuất hiện ứng dụng lạ dù bạn không cài.
• Pin tụt nhanh, máy nóng bất thường khi không dùng.
• Nhận thông báo giao dịch lạ từ ngân hàng.

Để tự bảo vệ trước các dòng mã độc như Albiriox, người dùng nên:

• Không cài ứng dụng qua link SMS, Messenger, Zalo, WhatsApp.
• Chỉ tải app từ Google Play hoặc Apple App Store.
• Tuyệt đối không cấp quyền Accessibility cho ứng dụng không rõ nguồn gốc.
• Cài phần mềm diệt virus uy tín.
• Thường xuyên kiểm tra danh sách ứng dụng và quyền truy cập.
• Luôn bật cảnh báo giao dịch từ ngân hàng.

Nếu nghi điện thoại bị nhiễm, người dùng hãy thực hiện ngay:

• Ngắt mạng Wi-Fi/4G ngay lập tức.
• Gỡ ứng dụng lạ.
• Đổi mật khẩu các tài khoản quan trọng.
• Gọi cho ngân hàng để khóa giao dịch.
• Sao lưu dữ liệu và khôi phục cài đặt gốc (factory reset).

Sự xuất hiện của Albiriox cho thấy xu hướng tội phạm mạng đang chuyển từ đánh cắp thông tin sang chiếm quyền thiết bị để thực hiện gian lận trực tiếp. Điều này khiến người dùng đều có thể trở thành nạn nhân chỉ bởi một cú bấm vào đường link khuyến mãi.

Trong bối cảnh các chiến dịch lừa đảo qua app giả ngày càng tinh vi, người dùng di động cần nâng cao cảnh giác và chỉ tin tưởng ứng dụng từ nguồn chính thống. Với các tổ chức tài chính, đây là lời cảnh báo phải tăng cường biện pháp phát hiện gian lận dựa trên phân tích hành vi, thay vì phụ thuộc hoàn toàn vào OTP hay thiết bị tin cậy. Albiriox có thể chỉ là cái tên mới, nhưng nó chứng tỏ điện thoại thông minh đang trở thành mục tiêu hấp dẫn nhất của tội phạm mạng trong thời đại số.

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview