GoldFactory mở rộng chiến dịch tấn công người dùng Việt Nam bằng ứng dụng ngân hàng bị chỉnh sửa

[Nguyễn Tiến Đạt]

Nhóm tội phạm mạng có động cơ tài chính GoldFactory vừa bị phát hiện thực hiện loạt tấn công mới nhắm vào người dùng di động tại Indonesia, Thái Lan và Việt Nam. Chúng triển khai các ứng dụng ngân hàng đã bị chỉnh sửa, mạo danh dịch vụ chính phủ để lừa người dùng cài đặt phần mềm độc hại Android.

Theo báo cáo kỹ thuật của Group-IB, chiến dịch này được ghi nhận từ tháng 10/2024, dựa trên việc phân phối các ứng dụng ngân hàng hợp pháp nhưng đã bị chèn mã độc. GoldFactory được cho là hoạt động từ tháng 6/2023, nổi lên khi sử dụng các họ phần mềm độc hại tùy chỉnh như GoldPickaxe, GoldDigger và GoldDiggerPlus nhắm vào cả Android lẫn iOS.

Dữ liệu phân tích cho thấy GoldFactory là một nhóm tội phạm nói tiếng Trung Quốc, có cấu trúc tổ chức rõ ràng và có liên hệ chặt chẽ với Gigabud, một malware Android bị phát hiện giữa năm 2023. Dù khác biệt đáng kể về mã nguồn, GoldDigger và Gigabud vẫn có điểm chung về phương thức mạo danh và cấu trúc trang đích.

Các đợt tấn công đầu tiên xuất hiện ở Thái Lan, sau đó lan sang Việt Nam cuối 2024 - đầu 2025, và ghi nhận tại Indonesia từ giữa 2025.

Mô hình lây nhiễm và kỹ thuật tấn công​

Group-IB đã phát hiện hơn 300 mẫu ứng dụng ngân hàng bị sửa đổi, dẫn đến gần 2.200 thiết bị nhiễm tại Indonesia. Điều tra mở rộng chỉ ra hơn 3.000 hiện vật, liên quan đến trên 11.000 ca lây nhiễm, trong đó 63% mẫu ứng dụng bị chỉnh sửa nhắm vào thị trường Indonesia.

Chuỗi lây nhiễm diễn ra qua kỹ thuật mạo danh cơ quan nhà nước và thương hiệu địa phương, liên hệ nạn nhân qua cuộc gọi để hướng dẫn họ nhấp vào liên kết được gửi qua các ứng dụng nhắn tin như Zalo.

Một trường hợp tại Việt Nam được ghi nhận: tội phạm mạo danh EVN, yêu cầu nạn nhân thanh toán hóa đơn điện quá hạn để tránh bị ngừng cung cấp dịch vụ. Chúng yêu cầu nạn nhân kết bạn Zalo để gửi liên kết cài đặt ứng dụng và yêu cầu liên kết tài khoản.

Những liên kết này đưa nạn nhân đến trang đích giả giống Google Play, cài đặt các trojan truy cập từ xa như Gigabud, MMRat hoặc Remo. Các dropper này mở đường cho malware chính chiếm quyền thiết bị thông qua dịch vụ trợ năng Android.

Theo Group-IB, các ứng dụng bị chỉnh sửa chỉ chèn mã độc vào một phần mã, giúp ứng dụng gốc vẫn hoạt động bình thường nhưng bị gắn thêm module độc hại. Các module này chủ yếu nhằm vượt qua tính năng bảo mật của ứng dụng gốc.

Ba khung hook được sử dụng gồm:

• FriHook
• SkyHook
• PineHook

Chúng cho phép:

• Ẩn các ứng dụng đang bật trợ năng
• Ngăn phát hiện screencast
• Giả mạo chữ ký ứng dụng Android
• Ẩn nguồn cài đặt
• Tích hợp nhà cung cấp mã thông báo toàn vẹn tùy chỉnh
• Lấy số dư tài khoản nạn nhân

SkyHook dùng khung Dobby, FriHook tích hợp Frida vào ứng dụng ngân hàng hợp pháp, còn PineHook dựa trên khung Java Pine.(thehackernews)

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview