404 Not Found
Writer
Các nhà nghiên cứu an ninh mạng gần đây phát hiện một chiến dịch phát tán ứng dụng độc hại quy mô lớn của tổ chức tội phạm mạng VexTrio. Nhóm này thâm nhập các kho ứng dụng lớn như Google Play và App Store thông qua các công cụ giả mạo bảo mật, ứng dụng hẹn hò và dịch vụ VPN, thu hút hàng triệu lượt tải về.
VexTrio phát hành các ứng dụng dưới nhiều tên nhà phát triển khác nhau, bao gồm HolaCode, LocoMind, Hugmi, Klover Group và AlphaScale Media, nhằm vượt qua cơ chế kiểm duyệt của kho ứng dụng. Các app hẹn hò như Hugmi và Cheri đạt hơn một triệu lượt tải mặc dù đánh giá từ người dùng tố cáo tính chất gian lận.
Ứng dụng “Spam Shield” là ví dụ điển hình cho chiêu trò lừa người dùng. App này quảng bá là công cụ chặn spam cho thông báo trình duyệt nhưng thực tế chỉ vô hiệu hóa thông báo và hiển thị giao diện giả lập thông báo bị chặn. Sau 24 giờ dùng thử, người dùng bị ép phải đăng ký thuê bao 6,99 USD mỗi tháng. Ngoài ra, app ép người dùng xem quảng cáo liên tục và thu thập thông tin cá nhân như email, dữ liệu thiết bị, phục vụ cho quảng cáo hoặc bán cho bên thứ ba.
Các ứng dụng VPN của VexTrio không cung cấp bảo mật thực sự mà hoạt động như residential proxy, khiến lưu lượng mạng của người dùng có thể bị giám sát và khai thác. DNS và IP analysis cho thấy các ứng dụng VPN dùng chung hạ tầng với nhiều ứng dụng lừa đảo khác, tập trung trên IP 136.243.216.249, đồng thời lưu trữ các app như HolaCode, AdsPro Digital và Los Pollos.
Hoạt động của VexTrio được hỗ trợ bởi các công ty bình phong đăng ký tại Prague, bao gồm Techintrade s.r.o. và OILIMPEX s.r.o., phát triển các ứng dụng lừa đảo gần như giống hệt với cơ sở mã chung. Nhiều tên miền như vm-oilimpex.holacode.tech và vm-technitrade.holacode.tech trỏ về IP chuyên dụng của VexTrio, cho thấy cơ sở hạ tầng tập trung và kiểm soát đồng bộ.
Ngoài ra, VexTrio còn vi phạm nhãn hiệu rộng rãi, lợi dụng thương hiệu nổi tiếng như MrBeast, Elon Musk và Donald Trump trong các chiến dịch tiền điện tử giả mạo. Các fake CAPTCHA bots xuất hiện trong app hoặc website tạo cảm giác hợp pháp và đồng thời là dấu ấn nhận diện riêng của tổ chức.
Một tập hợp các trang đích lừa đảo liên quan đến các lĩnh vực lừa đảo tiền điện tử, đầu tư, xổ số và phần mềm diệt vi-rút của VexTrio
Chiến dịch kéo dài hơn 15 năm mà không chịu hậu quả pháp lý đáng kể cho thấy những lỗ hổng nghiêm trọng trong thực thi luật chống tội phạm mạng, đặc biệt khi các nhóm tội phạm sử dụng công ty bình phong và hạ tầng ẩn danh để che giấu hoạt động.
Ứng dụng “Spam Shield” là ví dụ điển hình cho chiêu trò lừa người dùng. App này quảng bá là công cụ chặn spam cho thông báo trình duyệt nhưng thực tế chỉ vô hiệu hóa thông báo và hiển thị giao diện giả lập thông báo bị chặn. Sau 24 giờ dùng thử, người dùng bị ép phải đăng ký thuê bao 6,99 USD mỗi tháng. Ngoài ra, app ép người dùng xem quảng cáo liên tục và thu thập thông tin cá nhân như email, dữ liệu thiết bị, phục vụ cho quảng cáo hoặc bán cho bên thứ ba.
Các ứng dụng VPN của VexTrio không cung cấp bảo mật thực sự mà hoạt động như residential proxy, khiến lưu lượng mạng của người dùng có thể bị giám sát và khai thác. DNS và IP analysis cho thấy các ứng dụng VPN dùng chung hạ tầng với nhiều ứng dụng lừa đảo khác, tập trung trên IP 136.243.216.249, đồng thời lưu trữ các app như HolaCode, AdsPro Digital và Los Pollos.
Bản ghi DNS cho thấy các tên miền VexTrio đang phân giải tại cùng một địa chỉ IP chuyên dụng với các ứng dụng lừa đảo. Ảnh chụp tháng 6 năm 2025
Các nhà nghiên cứu còn phát hiện VexTrio dùng chiến thuật nhầm lẫn có chủ đích trong tên app, ví dụ app ID “com.vpn.proxy.secure.wifi.turbovpn”, khiến người dùng nhầm tưởng là ứng dụng hợp pháp. Điều khoản và điều kiện của app thường đề cập tới các dịch vụ không liên quan, phản ánh tiến độ phát triển và triển khai vội vàng.Hoạt động của VexTrio được hỗ trợ bởi các công ty bình phong đăng ký tại Prague, bao gồm Techintrade s.r.o. và OILIMPEX s.r.o., phát triển các ứng dụng lừa đảo gần như giống hệt với cơ sở mã chung. Nhiều tên miền như vm-oilimpex.holacode.tech và vm-technitrade.holacode.tech trỏ về IP chuyên dụng của VexTrio, cho thấy cơ sở hạ tầng tập trung và kiểm soát đồng bộ.
Ngoài ra, VexTrio còn vi phạm nhãn hiệu rộng rãi, lợi dụng thương hiệu nổi tiếng như MrBeast, Elon Musk và Donald Trump trong các chiến dịch tiền điện tử giả mạo. Các fake CAPTCHA bots xuất hiện trong app hoặc website tạo cảm giác hợp pháp và đồng thời là dấu ấn nhận diện riêng của tổ chức.
Chiến dịch kéo dài hơn 15 năm mà không chịu hậu quả pháp lý đáng kể cho thấy những lỗ hổng nghiêm trọng trong thực thi luật chống tội phạm mạng, đặc biệt khi các nhóm tội phạm sử dụng công ty bình phong và hạ tầng ẩn danh để che giấu hoạt động.
Theo WhiteHat
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview