Hơn 200 ứng dụng Android giả mạo âm thầm “móc túi” người dùng
Một chiến dịch phần mềm độc hại quy mô lớn đang nhắm vào người dùng Android bằng hàng trăm ứng dụng giả mạo trò chơi và mạng xã hội phổ biến, âm thầm đăng ký dịch vụ tính phí để đánh cắp tiền qua hóa đơn nhà mạng.
Các chuyên gia an ninh mạng của công ty an ninh mạng Zimperium (Mỹ) vừa phát hiện một chiến dịch gian lận tinh vi sử dụng gần 250 ứng dụng Android độc hại để lừa người dùng đăng ký các dịch vụ trả phí mà họ không hề hay biết.
Những ứng dụng này được ngụy trang dưới dạng các trò chơi và nền tảng mạng xã hội phổ biến như TikTok, Minecraft, Grand Theft Auto, Threads hay Facebook Messenger.
Sau khi được cài đặt, các ứng dụng sẽ bí mật đăng ký nạn nhân vào các dịch vụ nội dung cao cấp, khiến người dùng bị trừ tiền trực tiếp qua hóa đơn điện thoại hoặc tài khoản nhà mạng.

Theo Zimperium, chiến dịch này đã được theo dõi từ tháng 3/2025 đến ít nhất tháng 1/2026 và từng hoạt động mạnh tại Malaysia, Romania, Thái Lan và Croatia.
Mã độc chỉ kích hoạt với nhà mạng được nhắm sẵn
Điểm nguy hiểm của chiến dịch nằm ở khả năng lựa chọn mục tiêu cực kỳ chính xác. Phần mềm độc hại sẽ đọc thông tin SIM trên thiết bị để xác định nhà mạng của nạn nhân trước khi kích hoạt hành vi tấn công.
Nếu người dùng không thuộc nhóm nhà mạng bị nhắm mục tiêu, ứng dụng chỉ hiển thị các trang web vô hại nhằm tránh bị phát hiện. Nhưng nếu thiết bị sử dụng đúng nhà mạng đã được lập trình sẵn, mã độc sẽ kích hoạt quy trình lừa đảo.
Trong nhiều trường hợp, ứng dụng giả mạo yêu cầu người dùng “xác thực tài khoản trò chơi” hoặc “xác minh dịch vụ”, từ đó đánh cắp mã OTP gửi qua SMS.
Để thực hiện hành vi này, tin tặc đã lợi dụng API thu thập SMS của Android nhằm chặn mật khẩu dùng một lần trước khi tự động gửi các lệnh JavaScript tới các cổng thanh toán của nhà mạng.
Ba biến thể mã độc với cơ chế hoạt động tinh vi
Theo các nhà nghiên cứu, chiến dịch sử dụng ba biến thể phần mềm độc hại khác nhau nhưng đều có chung mục tiêu là chiếm đoạt tiền thông qua dịch vụ thanh toán của nhà mạng.
Biến thể đầu tiên tập trung vào việc tự động đăng ký các gói dịch vụ trả phí. Đây cũng là phiên bản tinh vi nhất khi có khả năng đọc SIM và chỉ kích hoạt trên những nhà mạng được mã hóa sẵn.
Biến thể thứ hai chủ yếu nhắm vào người dùng tại Thái Lan thông qua SMS cao cấp. Mã độc sử dụng cơ chế nhiều lớp để tránh bị phát hiện, trong đó ứng dụng hiển thị giao diện hợp pháp ở phía trước nhưng bí mật mở các WebView ẩn để truy cập cổng thanh toán.
Ngoài ra, nhóm tấn công còn sử dụng kỹ thuật đánh cắp cookie nhằm duy trì phiên đăng nhập với hệ thống thanh toán của nhà mạng.
Trong khi đó, biến thể thứ ba kết hợp cơ chế lừa đảo SMS với hệ thống thông báo thời gian thực qua Telegram, cho phép tin tặc theo dõi trực tiếp các thiết bị đã lây nhiễm thành công và tối ưu hoạt động tấn công.
Google lên tiếng nhưng giới chuyên gia vẫn lo ngại
Theo trang Dark Reading, Google khẳng định các ứng dụng độc hại nói trên không xuất hiện trên cửa hàng Google Play.
Google cũng cho biết tính năng Google Play Protect được bật mặc định trên các thiết bị Android có thể tự động bảo vệ người dùng trước các phiên bản mã độc đã biết.
Tuy nhiên, nhiều chuyên gia nhận định vụ việc cho thấy những lỗ hổng ngày càng lớn trong hệ sinh thái ứng dụng Android, đặc biệt khi tin tặc liên tục lợi dụng các tính năng hợp pháp để phục vụ mục đích tấn công.
Các chuyên gia bảo mật nhận định đây không phải là những lỗ hổng khó phát hiện, mà là các tính năng nền tảng phổ biến nhưng chưa được kiểm soát đủ chặt để ngăn chặn nguy cơ lạm dụng.
Người dùng Android cần làm gì để tự bảo vệ?
Các chuyên gia khuyến cáo người dùng chỉ nên tải ứng dụng từ các nguồn đáng tin cậy, tránh cài đặt file APK từ bên thứ ba hoặc các đường link không rõ nguồn gốc.
Ngoài ra, người dùng nên thường xuyên kiểm tra hóa đơn điện thoại, rà soát các dịch vụ đăng ký bất thường và bật sẵn các tính năng bảo vệ như Google Play Protect.
Trong bối cảnh các chiến dịch mã độc ngày càng tinh vi, giới chuyên gia cho rằng các công ty công nghệ cần thay đổi cách tiếp cận đối với bảo mật ứng dụng thay vì chỉ phụ thuộc vào cơ chế kiểm duyệt truyền thống./.