Một mối nguy mới vừa xuất hiện trên hệ điều hành [Android](https://www.gizchina.com/guide/hidden-android-auto-settings-you-didnt-know-you-needed), với mức độ tinh vi chưa từng có. Trojan Herodotus không hoạt động một cách máy móc, thay vào đó, nó mô phỏng chính xác hành động của người dùng: gõ từng phím chậm rãi, ngừng lại giữa các lần nhập liệu, thậm chí còn thực hiện thao tác vuốt màn hình như thật. Theo ThreatFabric, đây là một trong những loại [phần mềm độc hại Android](https://www.gizchina.com/phones/security-alert-ngate-android-malware-is-draining-bank-accounts-via-nfc) đầu tiên có khả năng giả lập hành vi con người thuyết phục đến mức các hệ thống bảo mật khó mà phân biệt được đâu là thật, đâu là giả.
Trojan giả lập thao tác người dùng
Khác với những loại mã độc truyền thống thường thực hiện thao tác nhanh và đều đặn, Herodotus lại nhập dữ liệu một cách chậm rãi, đôi lúc dừng lại như người dùng đang do dự hoặc bị phân tâm, đồng thời mô phỏng các chạm và cuộn màn hình một cách ngẫu nhiên. Nhờ vậy, hành động của nó trở nên tự nhiên như thể là một người thật đang sử dụng điện thoại.
Khả năng này giúp Herodotus vượt qua các hệ thống phát hiện hành vi tự động vốn dựa vào tốc độ nhập liệu hoặc các thao tác lặp lại. Nếu các Trojan trước đây thường bị nhận diện bởi sự máy móc, thì Herodotus lại “diễn” rất khéo léo, khiến các phần mềm chống gian lận khó lòng phát hiện.
Có thể nói, phần mềm độc hại này còn “giả người” tốt hơn cả các chatbot chăm sóc khách hàng hiện nay.
Chiêu thức đánh cắp tiền
Herodotus lợi dụng dịch vụ hỗ trợ tiếp cận trên Android – vốn được thiết kế để giúp người khuyết tật sử dụng thiết bị dễ dàng hơn. Nếu người dùng vô tình cấp quyền truy cập này, [Trojan](https://www.gizchina.com/android/be-careful-an-android-trojan-has-its-eyes-on-your-banking-data) có thể đọc tin nhắn, kể cả mã xác thực hai lớp (2FA), và tạo ra các màn hình đăng nhập giả để đánh cắp thông tin ngân hàng.
Từ đó, kẻ tấn công có thể điều khiển điện thoại từ xa, đăng nhập vào ứng dụng ngân hàng, chuyển tiền một cách bí mật – tất cả đều diễn ra trong nền, thiết bị vẫn hoạt động bình thường và không để lộ bất kỳ dấu hiệu nào.
Vì sao khó bị phát hiện?
Các [Trojan](https://www.gizchina.com/tech/beware-of-fake-windows-11-installation-package-some-are-trojan-viruses) cũ thường bị lộ vì thao tác quá nhanh hoặc hành động lặp đi lặp lại, không giống người thật. Herodotus thì ngược lại: nó thay đổi nhịp độ gõ, thực hiện các cử chỉ ngẫu nhiên, khiến cho hành vi khó đoán và rất giống người dùng thật.
Điều này đặt ra thách thức lớn cho các hệ thống phòng chống gian lận dựa trên các chỉ số như tốc độ nhập liệu hay tần suất thao tác. Các chuyên gia của ThreatFabric cảnh báo: Những hệ thống này giờ không còn đủ sức nhận diện các chiêu trò lừa đảo mới. Đội ngũ an ninh mạng cần phát triển các công cụ tinh vi hơn, có khả năng phân tích sâu về ý đồ và động cơ thay vì chỉ dựa vào hành vi bề ngoài.
Một nghịch lý đang diễn ra: Khi phần mềm bảo mật ngày càng giỏi nhận diện bot, thì mã độc lại càng “học” cách giống người thật hơn.
Mối lo ngại toàn cầu tăng cao
Trojan này đã bị phát hiện tại Ý, Brazil và nhiều quốc gia khác. Tin tặc chủ yếu phát tán mã độc qua các tin nhắn lừa đảo dẫn đến website giả, dụ người dùng tải ứng dụng chứa Herodotus. Khi đã cài đặt, mã độc sẽ yêu cầu quyền hỗ trợ tiếp cận – đây mới là lúc hiểm họa thực sự bắt đầu.
Hiện tại, Herodotus mới chỉ xuất hiện ở giai đoạn đầu, đây là tín hiệu tích cực. Nếu các chuyên gia bảo mật kịp thời nâng cao cảnh giác và tăng cường giải pháp phòng chống, họ có thể ngăn chặn Herodotus trước khi nó lây lan rộng. Tuy nhiên, lịch sử đã chứng minh: Khi một kiểu tấn công mới xuất hiện, nhiều biến thể khác sẽ nhanh chóng nối tiếp.
Yếu tố con người
Điều khiến Herodotus trở nên nguy hiểm không chỉ ở công nghệ mà còn ở tâm lý người dùng. Loại mã độc này cho thấy hacker đã biết lập trình phần mềm giả lập hành vi thiếu hoàn hảo, do dự, tin người – đúng như cách mà người thật thường sử dụng điện thoại. Nó tận dụng chính sự sơ hở và thói quen của người dùng để tấn công.
Đây là lời cảnh báo rõ ràng: An ninh mạng không chỉ dựa vào kiểm soát kỹ thuật mà cần hiểu sâu về thói quen và hành vi người dùng. Khi mã độc có thể “suy nghĩ” và hành động như con người, các biện pháp phòng thủ thuần kỹ thuật sẽ trở nên kém hiệu quả.
Tổng kết
Herodotus cho thấy mối đe dọa mạng sắp tới không còn là tốc độ hay sức mạnh mà là khả năng giả lập hành vi con người. Ranh giới giữa máy móc và người thật đang mờ dần, và lần này, mã độc đã biết “bắt chước” chính thói quen của chúng ta.
Những điểm cần lưu ý
* Herodotus là Trojan Android mới, có khả năng mô phỏng thao tác và hành vi như người thật. * Lợi dụng quyền hỗ trợ tiếp cận để đọc mã xác thực hai lớp, kiểm soát ứng dụng ngân hàng từ xa. * Nhập liệu chậm rãi, ngẫu nhiên để tránh bị phát hiện bởi hệ thống chống gian lận. * Đã xuất hiện tại Ý, Brazil và đang có nguy cơ lan rộng sang nhiều quốc gia khác. * Các chuyên gia cảnh báo: Hệ thống phát hiện gian lận cần được nâng cấp, tập trung vào phân tích hành vi phức tạp.
Tham khảo thêm các [gợi ý ChatGPT sáng tạo nội dung hay nhất của tôi](https://aiphogpt.com)
