Một chiến dịch tấn công nhắm vào người dùng di động tại Đông Nam Á đang gia tăng mạnh, với Việt Nam trở thành một trong những khu vực bị ảnh hưởng nhiều nhất. Nhóm tội phạm mạng GoldFactory – được đánh giá là có tổ chức, nói tiếng Trung và hoạt động vì mục đích tài chính – đang phát tán các ứng dụng ngân hàng giả mạo được chỉnh sửa tinh vi, ngụy trang dưới danh nghĩa dịch vụ nhà nước hoặc thương hiệu quen thuộc.
Theo báo cáo của Group-IB, chiến dịch này xuất hiện từ cuối năm 2024 tại Thái Lan, lan sang Việt Nam từ cuối 2024 đến đầu 2025, và tiếp tục mở rộng sang Indonesia trong năm 2025. Chỉ riêng tại Indonesia, các ứng dụng độc hại đã gây ra hơn 2.000 trường hợp bị nhiễm mã độc. Tổng cộng, cơ quan này ghi nhận hơn 11.000 thiết bị bị xâm nhập thông qua hơn 3.000 mẫu ứng dụng bị chỉnh sửa.
Tại Việt Nam, hình thức tấn công phổ biến là mạo danh cơ quan nhà nước hoặc doanh nghiệp dịch vụ thiết yếu. Trong một trường hợp, kẻ gian tự xưng là nhân viên Tập đoàn Điện lực Việt Nam (EVN), gọi điện thông báo “nợ tiền điện” và yêu cầu người dùng kết bạn Zalo để nhận đường link thanh toán. Khi nạn nhân cài đặt ứng dụng từ trang giả mạo Google Play, thiết bị sẽ bị cài vào các mã độc như Gigabud, MMRat hoặc Remo – những công cụ điều khiển từ xa có khả năng chiếm quyền toàn bộ điện thoại.
Kỹ thuật của GoldFactory tinh vi ở chỗ chúng không thay đổi toàn bộ ứng dụng ngân hàng, mà chỉ tiêm mã độc vào một phần nhỏ trong tệp gốc. Nhờ vậy, ứng dụng vẫn hoạt động như thật, khiến nạn nhân không nghi ngờ. Các modul độc hại có thể thay đổi theo từng ngân hàng, nhưng đa phần nhằm vượt qua cơ chế bảo mật của ứng dụng, che giấu dấu vết hoặc can thiệp sâu vào quyền truy cập Accessibility để chiếm quyền điều khiển thiết bị.
Group-IB cho biết GoldFactory sử dụng ba framework để “hook” vào ứng dụng: FriHook, SkyHook và PineHook, dựa trên các công cụ hợp pháp như Frida, Dobby hoặc Pine. Điều này cho phép chúng tùy chỉnh hành vi mã độc theo thời gian thực, từ ẩn ứng dụng, tránh bị phát hiện, giả mạo chữ ký ứng dụng đến thu thập số dư tài khoản. Đây là cách tiếp cận mang lại hiệu quả cực cao và khó phát hiện bằng các phương pháp phòng vệ truyền thống.
Phân tích hạ tầng của nhóm tội phạm còn cho thấy sự tồn tại của một biến thể Android mới có tên “Gigaflower”. Phiên bản này hỗ trợ khoảng 48 lệnh điều khiển thiết bị từ xa, theo dõi màn hình theo thời gian thực qua WebRTC, lừa người dùng bằng màn hình cập nhật hệ thống hoặc yêu cầu nhập mã PIN giả, đọc nội dung giao diện, thu thập dữ liệu từ ảnh giấy tờ tùy thân và thậm chí đang thử nghiệm khả năng quét mã QR trên căn cước công dân Việt Nam.
Một điểm đáng chú ý là GoldFactory gần như từ bỏ việc phát triển mã độc iOS. Thay vào đó, chúng yêu cầu nạn nhân “mượn tạm điện thoại Android của người thân để hoàn tất quy trình”, cho thấy việc tấn công vào hệ sinh thái iOS giờ gặp nhiều hạn chế hơn do cơ chế kiểm duyệt ứng dụng chặt chẽ.
Group-IB nhận định rằng các chiến dịch trước đây của GoldFactory chủ yếu lợi dụng quy trình định danh (KYC), nhưng hiện tại nhóm đã chuyển sang chỉnh sửa trực tiếp ứng dụng ngân hàng hợp pháp để thực hiện hành vi gian lận. Việc tận dụng các framework hợp pháp và phương pháp “vá nóng” ứng dụng ngân hàng cho thấy đây là mô hình tấn công có chi phí thấp nhưng khó phát hiện, đồng thời có khả năng mở rộng quy mô cực nhanh.
