Cảnh báo: Trojan ngân hàng Android GoldFactory đe dọa người dùng Đông Nam Á
Tổng quan
Một nhóm tội phạm mạng theo động cơ tài chính được theo dõi với tên GoldFactory đã mở rộng hoạt động sang Đông Nam Á, triển khai các phiên bản đã sửa đổi của ứng dụng ngân hàng hợp pháp để lây nhiễm thiết bị Android và đánh cắp dữ liệu nhạy cảm.
Chiến dịch này, bắt đầu từ Thái Lan vào tháng 10/2024 trước khi lan sang Việt Nam và Indonesia, liên quan đến các kỹ thuật xã hội như cuộc gọi giả mạo từ cơ quan nhà nước hoặc công ty tiện ích để lừa nạn nhân cài đặt ứng dụng bị trojan hóa. Các nhà nghiên cứu từ Group-IB, những người đã phân tích hơn 300 mẫu đã sửa đổi, báo cáo ít nhất 3.000 hiện vật độc hại và 11.000 trường hợp lây nhiễm đến nay.
Nhóm này, được cho là nói tiếng Trung và hoạt động từ ít nhất tháng 6/2023, đã phát triển từ các trojan tùy chỉnh như GoldPickaxe và GoldDigger sang việc can thiệp trực tiếp vào các ứng dụng ngân hàng chính thức. Phương pháp này cho phép họ né tránh phát hiện truyền thống trong khi khai thác dịch vụ hỗ trợ tiếp cận để kiểm soát từ xa.
Chiến thuật tấn công
Chiến thuật mới nhất của GoldFactory liên quan đến việc đóng gói lại các ứng dụng ngân hàng hợp pháp từ các tổ chức lớn ở Indonesia, Thái Lan và Việt Nam. Những phiên bản bị trojan hóa này giữ nguyên giao diện và chức năng gốc nhưng nhúng mã độc bằng cách sử dụng các khung hooking như FriHook (dựa trên Frida), SkyHook (Dobby) và PineHook (Pine).
Nạn nhân bị nhắm đến qua các cuộc gọi điện thoại giả mạo các thực thể như công ty điện lực EVN của Việt Nam, thúc giục họ click vào liên kết trong ứng dụng nhắn tin như Zalo. Các liên kết này dẫn đến các trang web giả mạo giống như Google Play, lưu trữ phần mềm độc hại. Sau khi cài đặt, ứng dụng yêu cầu quyền hỗ trợ tiếp cận, cho phép các tính năng như ghi màn hình từ xa qua WebRTC, ghi phím, phân tích giao diện người dùng, và thậm chí lớp phủ giả mạo để thu thập PIN hoặc thông tin cập nhật.
Group-IB lưu ý rằng phần mềm độc hại ẩn các dịch vụ hỗ trợ tiếp cận đã kích hoạt, chặn phát hiện ghi màn hình, và giả mạo chữ ký ứng dụng để né tránh kiểm tra bảo mật. Một biến thể mới có tên Gigaflower (phát triển từ Gigabud) hỗ trợ lên đến 48 lệnh từ xa, bao gồm quét mã QR cho thẻ căn cước Việt Nam và OCR để trích xuất dữ liệu từ hình ảnh.
Tác động khu vực
Hoạt động này đã ảnh hưởng nặng nề đến Đông Nam Á, với Indonesia chiếm 63% các ứng dụng bị nhắm đến và gần 2.200 nạn nhân. Việt Nam chứng kiến hoạt động tăng mạnh vào cuối 2024, trong khi Indonesia bị nhắm đến từ giữa 2025. Hơn 300 ứng dụng ngân hàng đã sửa đổi đã được xác định, dẫn đến gian lận tài chính rộng rãi qua việc chiếm đoạt tài khoản và giao dịch trái phép.
Đáng chú ý, GoldFactory đã từ bỏ các cuộc tấn công trực tiếp vào iOS – có lẽ do bảo mật nghiêm ngặt hơn của Apple – thay vào đó hướng dẫn nạn nhân mượn thiết bị Android để thực hiện "giao dịch".
Kỹ thuật né tránh và Sự phát triển
Để tránh phát hiện, phần mềm độc hại sử dụng các phương pháp tiết kiệm chi phí như sửa đổi ứng dụng thay vì xây dựng tùy chỉnh. Nó kiểm tra xem có đang chạy trong trình giả lập hoặc sandbox trước khi kích hoạt và sử dụng giao tiếp C2 được mã hóa để trích xuất dữ liệu, bao gồm số dư ngân hàng, thông tin xác thực và thông tin cá nhân.
Sự phát triển này dựa trên các công cụ trước đây của GoldFactory, với liên kết đến Gigabud. Phân tích của Group-IB về 3.000 hiện vật tiết lộ một cách tiếp cận tinh vi, có khả năng mở rộng và khó bị phần mềm diệt virus phát hiện.
"Sự chuyển dịch của GoldFactory sang sửa đổi các ứng dụng hợp pháp đại diện cho một sự leo thang đáng kể trong các mối đe dọa ngân hàng di động, kết hợp kỹ thuật xã hội với hooking nâng cao để đạt được quyền truy cập liên tục," các nhà nghiên cứu từ Group-IB cho biết trong báo cáo của họ.
Khuyến nghị
Người dùng ở các khu vực bị ảnh hưởng nên:
Chỉ tải ứng dụng từ các cửa hàng chính thức như Google Play.
Xác minh các cuộc gọi đáng ngờ qua kênh chính thức.
Kiểm tra kỹ quyền ứng dụng, đặc biệt là dịch vụ hỗ trợ tiếp cận.
Sử dụng phần mềm bảo mật di động uy tín để quét định kỳ.
Giữ thiết bị cập nhật để vá lỗ hổng.
