404 Not Found
Writer
Nhóm tội phạm mạng GoldFactory đang triển khai một chiến dịch gian lận tài chính mới nhắm vào người dùng di động tại Thái Lan, Việt Nam và Indonesia. Theo báo cáo của Group-IB, các cuộc tấn công đã được ghi nhận từ cuối năm 2024 và có dấu hiệu tăng mạnh trong 2025, cho thấy nỗ lực mở rộng phạm vi hoạt động của nhóm trong khu vực. GoldFactory vốn được biết đến là nhóm tội phạm mạng có liên hệ với Trung Quốc, chuyên tạo ra các dòng mã độc GoldPickaxe, GoldDigger và GoldDiggerPlus, từng gây ảnh hưởng lớn tại châu Á từ năm 2023.
Điểm đáng chú ý của chiến dịch lần này là GoldFactory không còn phát tán ứng dụng giả mạo như trước. Thay vào đó, nhóm tin tặc chỉnh sửa trực tiếp các ứng dụng ngân hàng hợp pháp. Chúng giải nén ứng dụng thật, tiêm mã độc vào một số module rồi đóng gói lại để phát tán. Khi người dùng mở ứng dụng, tất cả chức năng vẫn hoạt động bình thường, nhưng mã độc âm thầm can thiệp vào cơ chế bảo mật, ẩn nguồn cài đặt, che giấu quyền Accessibility và thu thập dữ liệu tài chính. Kỹ thuật này đặc biệt nguy hiểm vì dựa trên chính ứng dụng mà nạn nhân vốn tin tưởng tuyệt đối, khiến khả năng phát hiện gần như bằng không.
Hoạt động tấn công bắt đầu từ Thái Lan, sau đó xuất hiện ở Việt Nam vào cuối năm 2024 và lan tới Indonesia trong năm 2025. Chỉ riêng Indonesia đã ghi nhận hơn 2.200 nạn nhân từ hơn 300 mẫu ứng dụng bị chỉnh sửa. Tổng cộng, hạ tầng kiểm soát của GoldFactory liên quan tới hơn 3.000 artefact, dẫn đến ít nhất 11.000 thiết bị bị lây nhiễm. Phần lớn các ứng dụng bị chỉnh sửa phục vụ thị trường Indonesia, nhưng dấu hiệu nhắm vào Việt Nam ngày càng rõ rệt khi các kịch bản lừa đảo xuất hiện phù hợp với thói quen sử dụng công nghệ trong nước.
Tại Việt Nam, Group-IB ghi nhận trường hợp kẻ gian mạo danh Tập đoàn Điện lực Việt Nam (EVN), gọi điện yêu cầu nạn nhân thanh toán “hóa đơn quá hạn” và hướng dẫn tải ứng dụng qua một đường link gửi trên Zalo. Khi nạn nhân cài đặt, thiết bị ngay lập tức bị lây nhiễm các trojan như Gigabud, MMRat hoặc Remo. Những mã độc này lạm dụng quyền Accessibility để điều khiển thiết bị từ xa, đọc nội dung màn hình, can thiệp giao dịch, chiếm đoạt thông tin định danh và kiểm soát hoạt động ngân hàng của người dùng mà không để lại dấu vết rõ ràng.
Việc chỉnh sửa ứng dụng ngân hàng được thực hiện thông qua ba framework hook phổ biến, gồm FriHook sử dụng Frida gadget, SkyHook dựa trên framework Dobby và PineHook vận hành nhờ cơ chế hook của Pine trên Java. Dù khác nhau về phương thức kỹ thuật, cả ba đều hướng tới cùng mục tiêu là chèn các đoạn mã cho phép tin tặc vượt qua lớp bảo mật gốc của ứng dụng và giành quyền thao tác trực tiếp trên tài khoản ngân hàng.
Phân tích hạ tầng của GoldFactory còn cho thấy nhóm đang phát triển một biến thể Android mới mang tên Gigaflower. Đây là bản kế nhiệm của Gigabud, sở hữu khoảng 48 lệnh cho phép ghi lại màn hình theo thời gian thực, thu thập thao tác bàn phím, mô phỏng các màn hình hệ thống như nhập PIN hoặc cập nhật thiết bị để đánh cắp thông tin và trích xuất dữ liệu từ ảnh giấy tờ định danh bằng thuật toán nhận dạng ký tự. Đáng chú ý, tin tặc đang thử nghiệm khả năng quét mã QR trên căn cước công dân của Việt Nam, cho thấy nghiên cứu chuyên sâu vào đặc thù nhận diện điện tử tại thị trường trong nước.
Trong quá trình lừa đảo, GoldFactory thường yêu cầu nạn nhân cài ứng dụng ngân hàng giả mạo thông qua các đường link được gửi qua những nền tảng nhắn tin phổ biến. Một số báo cáo quốc tế cho biết nhóm này thậm chí từng lợi dụng cả Zalo để phát tán file APK độc hại. Cùng với việc phân tích chuyên sâu căn cước công dân và mô phỏng thói quen giao dịch tài chính của người dùng, có thể thấy Việt Nam không phải là mục tiêu tình cờ mà là thị trường được GoldFactory ưu tiên khai thác nhằm tối đa hóa hiệu quả tấn công.
Trước mức độ nguy hiểm và tinh vi của chiến dich, chuyên gia WhiteHat khuyên nghị người dùng cần:
Điểm đáng chú ý của chiến dịch lần này là GoldFactory không còn phát tán ứng dụng giả mạo như trước. Thay vào đó, nhóm tin tặc chỉnh sửa trực tiếp các ứng dụng ngân hàng hợp pháp. Chúng giải nén ứng dụng thật, tiêm mã độc vào một số module rồi đóng gói lại để phát tán. Khi người dùng mở ứng dụng, tất cả chức năng vẫn hoạt động bình thường, nhưng mã độc âm thầm can thiệp vào cơ chế bảo mật, ẩn nguồn cài đặt, che giấu quyền Accessibility và thu thập dữ liệu tài chính. Kỹ thuật này đặc biệt nguy hiểm vì dựa trên chính ứng dụng mà nạn nhân vốn tin tưởng tuyệt đối, khiến khả năng phát hiện gần như bằng không.
Hoạt động tấn công bắt đầu từ Thái Lan, sau đó xuất hiện ở Việt Nam vào cuối năm 2024 và lan tới Indonesia trong năm 2025. Chỉ riêng Indonesia đã ghi nhận hơn 2.200 nạn nhân từ hơn 300 mẫu ứng dụng bị chỉnh sửa. Tổng cộng, hạ tầng kiểm soát của GoldFactory liên quan tới hơn 3.000 artefact, dẫn đến ít nhất 11.000 thiết bị bị lây nhiễm. Phần lớn các ứng dụng bị chỉnh sửa phục vụ thị trường Indonesia, nhưng dấu hiệu nhắm vào Việt Nam ngày càng rõ rệt khi các kịch bản lừa đảo xuất hiện phù hợp với thói quen sử dụng công nghệ trong nước.
Tại Việt Nam, Group-IB ghi nhận trường hợp kẻ gian mạo danh Tập đoàn Điện lực Việt Nam (EVN), gọi điện yêu cầu nạn nhân thanh toán “hóa đơn quá hạn” và hướng dẫn tải ứng dụng qua một đường link gửi trên Zalo. Khi nạn nhân cài đặt, thiết bị ngay lập tức bị lây nhiễm các trojan như Gigabud, MMRat hoặc Remo. Những mã độc này lạm dụng quyền Accessibility để điều khiển thiết bị từ xa, đọc nội dung màn hình, can thiệp giao dịch, chiếm đoạt thông tin định danh và kiểm soát hoạt động ngân hàng của người dùng mà không để lại dấu vết rõ ràng.
Việc chỉnh sửa ứng dụng ngân hàng được thực hiện thông qua ba framework hook phổ biến, gồm FriHook sử dụng Frida gadget, SkyHook dựa trên framework Dobby và PineHook vận hành nhờ cơ chế hook của Pine trên Java. Dù khác nhau về phương thức kỹ thuật, cả ba đều hướng tới cùng mục tiêu là chèn các đoạn mã cho phép tin tặc vượt qua lớp bảo mật gốc của ứng dụng và giành quyền thao tác trực tiếp trên tài khoản ngân hàng.
Phân tích hạ tầng của GoldFactory còn cho thấy nhóm đang phát triển một biến thể Android mới mang tên Gigaflower. Đây là bản kế nhiệm của Gigabud, sở hữu khoảng 48 lệnh cho phép ghi lại màn hình theo thời gian thực, thu thập thao tác bàn phím, mô phỏng các màn hình hệ thống như nhập PIN hoặc cập nhật thiết bị để đánh cắp thông tin và trích xuất dữ liệu từ ảnh giấy tờ định danh bằng thuật toán nhận dạng ký tự. Đáng chú ý, tin tặc đang thử nghiệm khả năng quét mã QR trên căn cước công dân của Việt Nam, cho thấy nghiên cứu chuyên sâu vào đặc thù nhận diện điện tử tại thị trường trong nước.
Trong quá trình lừa đảo, GoldFactory thường yêu cầu nạn nhân cài ứng dụng ngân hàng giả mạo thông qua các đường link được gửi qua những nền tảng nhắn tin phổ biến. Một số báo cáo quốc tế cho biết nhóm này thậm chí từng lợi dụng cả Zalo để phát tán file APK độc hại. Cùng với việc phân tích chuyên sâu căn cước công dân và mô phỏng thói quen giao dịch tài chính của người dùng, có thể thấy Việt Nam không phải là mục tiêu tình cờ mà là thị trường được GoldFactory ưu tiên khai thác nhằm tối đa hóa hiệu quả tấn công.
Trước mức độ nguy hiểm và tinh vi của chiến dich, chuyên gia WhiteHat khuyên nghị người dùng cần:
- Chỉ cài đặt và cập nhật ứng dụng ngân hàng từ các kho chính thức như Google Play hoặc App Store. Bất kỳ đường link tải ứng dụng nào được gửi qua tin nhắn, cuộc gọi hoặc mạng xã hội đều phải được xem là có rủi ro cao
- Không cấp quyền quá mức cho ứng dụng, đặc biệt là quyền trợ năng, quyền đọc tin nhắn hoặc quyền điều khiển thiết bị
- Kích hoạt xác thực đa lớp cho tài khoản ngân hàng
- Theo dõi biến động tài khoản và liên hệ ngay với ngân hàng khi xuất hiện giao dịch bất thường
- Thường xuyên cập nhật hệ điều hành và phần mềm bảo mật để vá các lỗ hổng mà mã độc có thể khai thác
- Các công cụ bảo mật mặc định chỉ bảo vệ cơ bản, do đó người dùng nên cài phần mềm diệt virus bản quyền và hệ thống giám sát email để chống các mã độc tinh vi hiệu quả.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
