Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Tội phạm mạng biến app hợp pháp thành mỏ vàng: Bạn có đang là nạn nhân?

Chuyên gia cảnh báo xu hướng tấn công nhắm vào người dùng điện thoại tại khu vực châu Á trong đó có Việt Nam.

Updated
11 min read
Tội phạm mạng biến app hợp pháp thành mỏ vàng: Bạn có đang là nạn nhân?
L
Lưu Tuấn Anh
Part of seriesNewsletters

Tổng quan

Gần đây một chiến dịch tấn công tinh vi đang lan rộng tại khu vực châu Á – Thái Bình Dương trong đó có cả Việt Nam, chiến dịch này nhắm trực tiếp vào người dùng ngân hàng và các ứng dụng tài chính. Thay vì tạo ra ứng dụng giả mạo như các chiến dịch lừa đảo truyền thống, nhóm tội phạm mạng GoldFactory áp dụng kỹ thuật mới: chèn mã độc vào ứng dụng hợp pháp, biến chính phần mềm quen thuộc của người dùng thành công cụ đánh cắp dữ liệu và chiếm đoạt tài khoản.

Theo phân tích của Group-IB, hàng chục ứng dụng ngân hàng trong khu vực đã bị chỉnh sửa và phân phối lại qua các kênh phi chính thức, chủ yếu thông qua tin nhắn, cuộc gọi mạo danh cơ quan nhà nước, dịch vụ công hoặc ngân hàng. Khi nạn nhân cài đặt, mã độc âm thầm hoạt động, bí mật giám sát màn hình, thu thập mật khẩu, OTP, thông tin cá nhân và cho phép kẻ gian điều khiển thiết bị từ xa.

Chiến dịch thể hiện mức độ chuyên môn cao của tội phạm mạng, khi chúng sử dụng các công cụ hợp pháp như Frida, Dobby để can thiệp sâu vào ứng dụng và vượt qua nhiều lớp kiểm soát bảo mật. Với số lượng nạn nhân gia tăng nhanh ở nhiều quốc gia, trong đó có Việt Nam, mối đe dọa này đặt ra yêu cầu cấp thiết về tăng cường giám sát bảo mật, nâng cao nhận thức người dùng và siết chặt quy trình phân phối ứng dụng của các tổ chức tài chính.

Đôi nét về GoldFactory

GoldFactory là ai?

GoldFactory được xác định là một nhóm tội phạm mạng (threat actor), chúng hoạt động chủ yếu ở khu vực Asia-Pacific (APAC). Theo các nhà nghiên cứu thì GoldFactory có cấu trúc tương đối “chuyên nghiệp”: gồm cả đội phát triển phần mềm độc hại (malware) và đội “vận hành - triển khai” (ops / social-engineering & distribution), nhằm tấn công vào các thị trường đa quốc gia cũng như các tổ chức tài chính ngân hàng.

Lịch sử của nhóm

GoldFactory được biết đến lần đầu tiên vào khoảng giữa năm 2023 khi biến thể đầu tiên của mã độc là GoldDigger. Một thời gian sau đó thì GoldFactory nhanh chóng mở rộng danh mục mã độc: bao gồm các biến thể như GoldDiggerPlus, GoldKefu, và đặc biệt GoldPickaxe (Android + iOS).

Bắt đầu từ khoảng cuối 2024, đầu 2025, các chiến dịch của GoldFactory được phát hiện tại nhiều quốc gia: ban đầu là Thái Lan, sau đó lan sang Việt Nam. Đến giữa năm 2025 thì các hoạt động càng lan rộng hơn đặc biệt là Indonesia với hàng trăm ứng dụng ngân hàng bị “tiêm” mã độc, hàng nghìn thiết bị bị nhiễm.

Phương thức tấn công

Như đã phân tích bên trên thì GoldFactory sẽ không sử dụng các “app giả” thông thường mà thay vào đó chúng sử dụng các chiêu thức tinh vi hơn nhiều:

  • Nhóm tin tặc sẽ decompile (truy cập mã nguồn hoặc logic của app gốc) các ứng dụng ngân hàng chính thức, chèn mã độc và re-compile lại từ đó tạo ra các bản app “đã được chỉnh sửa” (modified banking apps), vẫn giữ chức năng bình thường để người dùng không nghi ngờ.

  • Khi người dùng cài đặt và chạy app, mã độc sẽ “hook” (can thiệp) vào runtime và thay đổi logic, can thiệp vào quy trình bảo mật, vượt qua các kiểm tra tính toàn vẹn (integrity), ẩn nguồn cài đặt, ẩn dịch vụ.

  • Từ các yếu tố trên, app vẫn sẽ hoạt động bình thường khiến việc phát hiện từ người dùng hoặc bảo mật thông thường rất khó nhưng phía sau, kẻ tấn công có thể: ghi lại màn hình, keystroke, thao túng UI, theo dõi thao tác, đánh cắp mật khẩu / OTP / session / cookie / thông tin nhạy cảm.

Công cụ GoldFactory sử dụng

  • GoldDigger: Android banking Trojan - lợi dụng Accessibility Service để kiểm soát, lấy thông tin tài khoản.

  • GoldDiggerPlus + GoldKefu: Bản mở rộng - thêm khả năng dùng “web fake” (giao diện giả) để chiếm mật khẩu, popup cảnh báo giả ngân hàng, có thể gọi điện thật để lừa nạn nhân.

  • GoldPickaxe (Android & iOS): Mã độc tân tiến - thu thập dữ liệu sinh trắc học (gương mặt), ảnh/scan ID, SMS, traffic; dùng để tạo deepfake, chiếm quyền truy cập ngân hàng.

  • Injected banking apps (modded apps): Bank-app chính thức bị chèn mã độc để giữ chức năng bình thường nhưng ẩn malware bên trong - dễ lừa người dùng.

  • Hook frameworks / backdoor tools: Dùng để hook runtime, bypass security, giữ stealth, điều khiển từ xa, che giấu malware.

Chi tiết chiến dịch

Quá trình lây nhiễm ban đầu

Như đã đề cập bên trên thì GoldFactory đang chủ yếu nhắm đến người dùng tại Việt Nam và Indonesia. Ví dụ tại Việt Nam chúng liên tục sử dụng các App đáng tin cậy hoặc các Ứng dụng thuộc chính phủ để thực hiện hành vi của mình, bao gồm việc mạo danh Tập đoàn Điện lực Việt Nam (nhà cung cấp điện quốc gia), Sở Y tế các tỉnh, Cổng Dịch vụ công Quốc gia và Bộ Công an. Tại đây chúng sẽ đóng giả là nhân viên của Tập đoàn Điện lực và liên lạc với nạn nhân qua điện thoại, cho rằng hóa đơn tiền điện đã quá hạn.

Trong cuộc gọi, nạn nhân được yêu cầu thêm kẻ lừa đảo trên Zalo để nhận thêm hướng dẫn tải ứng dụng di động. Sau đó, những kẻ lừa đảo cảnh báo rằng việc không cài đặt ứng dụng và liên kết tài khoản của họ theo chỉ dẫn sẽ khiến dịch vụ điện của nạn nhân bị đình chỉ ngay lập tức. Chiến thuật này lợi dụng sự sợ hãi và cấp bách để buộc nạn nhân phải tuân theo.

Sau đó, nhóm tin tặc đã gửi cho nạn nhân một liên kết trông giống như một trang Google Play hợp pháp nhưng được phân phối dưới dạng tệp APK. Sau khi quá trình tải xuống hoàn tất, ứng dụng sẽ nhắc nạn nhân kích hoạt tất cả các quyền cần thiết trên thiết bị của họ.

Có khi chúng nhắm vào chủ sở hữu các doanh nghiệp thực phẩm và đồ uống. Tại đây kẻ lừa đảo đã gọi điện cho các chủ doanh nghiệp giả danh là quan chức Sở Y tế, sau đó yêu cầu kết nối qua nền tảng mạng xã hội Zalo. Họ cho biết, đoàn kiểm tra của Cục sẽ sớm đến giám sát việc tuân thủ vệ sinh an toàn thực phẩm.

Sau khi thiết lập liên lạc, kẻ lừa đảo đã gửi tài liệu giả qua Zalo, mạo danh các thông báo, quyết định chính thức được cho là của Sở Y tế ban hành. Các tài liệu này bao gồm các thông báo giả mạo về việc thành lập đoàn kiểm tra, giám sát các cơ sở kinh doanh thực phẩm trên địa bàn thành phố. Nạn nhân sau đó được hướng dẫn truy cập một trang web độc hại để tải xuống ứng dụng và gửi thông tin của họ.

Các ứng dụng độc hại này đều được nhóm tấn công lưu trữ trên 2 Domain: ykkadm[.]icudgpyynxzb[.]com

Quá trình kích hoạt

Như đã đề cập từ trước thì GoldFactory hoạt động dựa trên nguyên tắc là chèn mã độc vào một phần của ứng dụng, cho phép ứng dụng gốc giữ lại chức năng bình thường, và các thành phần độc hại này sẽ khởi chạy trước sau đó trả lại các quyền bình thường cho ứng dụng để thực thi như bình thường. Nhiệm vụ của các hàm chính trong mã độc này là:

  • Ẩn danh sách các ứng dụng đã bật Dịch vụ trợ năng.

  • Ngăn chặn phát hiện screencast.

  • Giả mạo chữ ký của một ứng dụng Android.

  • Ẩn nguồn cài đặt.

  • Triển khai các nhà cung cấp mã thông báo toàn vẹn tùy chỉnh.

  • Lấy tài khoản số dư của nạn nhân.

Đầu tiên sau khi cài đặt một ứng dụng được đặt tên là FriHook sẽ được thực thi nhằm mục đích bỏ qua các bước kiểm tra tính toàn vẹn và ẩn hoạt động độc hại trên các thiết bị bị nhiễm.

Một điều đáng chú ý ở ứng dụng này là nó trả về thông tin chữ ký hợp pháp, khiến ứng dụng tin rằng APK được ký bằng chứng chỉ phát hành hợp lệ chứ không phải chứng chỉ Gỡ lỗi. Điều này cho phép ứng dụng vượt qua các bước kiểm tra tính toàn vẹn dựa trên chữ ký.

Ngay ở những bước đầu này mã độc cũng đã thiết lập các kết nối đến máy chủ C2 để kiểm soát thiết bị từ xa cũng như thu thập thông tin, thông báo. Toàn bộ các dữ liệu này đều được gửi về wm.b-ty.com qua Port 8080.

Sau khi đã có đủ thông tin thì kẻ tấn công có thể dùng remote access (WebRTC, backdoor) để xem màn hình, điều khiển UI. Đáng lo ngại hơn nữa là chúng có thể thực hiện các thao tác chuyển tiền, kích hoạt giao dịch qua UI giả, hoặc export dữ liệu để dùng cho deepfake/giả mạo xác thực.

Kết luận

Chiến dịch của GoldFactory cho thấy tội phạm mạng đang bước sang một giai đoạn mới, tinh vi và nguy hiểm hơn rất nhiều so với các hình thức lừa đảo di động trước đây. Chiến dịch không còn chỉ là tạo app giả một cách thô sơ, mà thay vào đó các nhóm APT can thiệp trực tiếp vào ứng dụng hợp pháp, cho phép chúng vượt qua gần như mọi lớp phòng vệ thông thường của người dùng, đặt ra thách thức lớn cho cả cá nhân lẫn tổ chức tài chính.

Khi mã độc có khả năng thu thập dữ liệu sinh trắc học, điều khiển thiết bị từ xa, giả mạo giao diện ngân hàng và đánh cắp OTP theo thời gian thực, ranh giới giữa “dùng app bình thường” và “bị tấn công” trở nên cực kỳ mỏng manh. Hàng nghìn nạn nhân tại nhiều quốc gia, trong đó có Việt Nam, là lời cảnh báo rõ ràng rằng xu hướng tội phạm tài chính đang thay đổi theo hướng tinh chỉnh ứng dụng hợp pháp để biến chúng thành vũ khí tấn công.

Cuối cùng, chiến dịch của GoldFactory là lời nhắc nhở quan trọng rằng an ninh di động không còn là vấn đề kỹ thuật thuần túy, mà là một cuộc chạy đua không ngừng giữa tội phạm và những chuyên gia giám sát An ninh mạng. Chỉ khi người dùng, doanh nghiệp và nhà chức trách cùng hành động, chúng ta mới có thể thu hẹp khoảng cách và giảm thiểu thiệt hại từ những chiến dịch tấn công ngày càng tinh vi như thế này.

Khuyến nghị

  1. Tuyệt đối không cài APK từ link ngoài

    • Tất cả biến thể của GoldFactory đều yêu cầu người dùng cài app từ đường dẫn lạ (sideload), không qua Google Play hoặc App Store.

    • Ngay cả khi đường link trông "giống thật" (trang giả mạo cơ quan nhà nước, ứng dụng dịch vụ công), vẫn phải coi là rủi ro.

  2. Không cấp quyền Accessibility/overlay cho app lạ

    • Khi ứng dụng yêu cầu quyền lạ → dừng lại.

    • Vào Cài đặt → Trợ năng (Accessibility) xem app nào đang có quyền bất thường.

  3. Không gửi ảnh CCCD/CMND, video xác thực qua đường link

    • GoldFactory thu thập tài liệu định danh + khuôn mặt để:

      • Làm deepfake.

      • Đăng ký tài khoản tài chính.

      • Vay tín chấp mạo danh.

    • Chính vì thế mà tuyệt đối không cung cấp thông tin

  4. Cảnh giác với các nội dung sau (high-risk)

    • Tin nhắn “phạt nguội – tra cứu nợ – cập nhật CCCD – nhận trợ cấp”.

    • Gọi điện tự xưng công an, tòa án, ngân hàng yêu cầu cài app.

    • Trang web có tên miền lạ, gần giống chính phủ (ví dụ: gov-vn[.]top).

  5. Kiểm tra thiết bị định kỳ

    • Xem có app lạ không.

    • Kiểm tra danh sách quyền.

    • Đổi mật khẩu nếu nghi ngờ thiết bị bị kiểm soát.

IOC

  1. Hash

    • d3752e85216f46b76aaf3bc3f219b6bf7745fe0195076e991cf29dcc65f09723

    • 4b6211de6a9b8b780537f4d0dcac7f5ba29af597b4b416d7ad40dbd5e6d3e360

    • d75ca4b69e3ad9a6f2f4168f5713a049c310fee62ee0bba037ba4c24174d25c4

    • d47246c9bd4961f692cef6e3d8cdc5aa5f64e16946104cc9c194eb47077fd897

    • 0de69fad50b9e0800ba0120fe2b2f7ebb414e1ae335149a77dae3544b0a46139

    • 68fb18d67bb2314ff70a0fb42e05c40463cceb9657c62682179e62809429ad99

    • 9ada0f54f0eaa0349c63759172848fcb1dd123d892ece8d74002f96d6f095a43

    • 4eb7a289af4ea7c65c4926e4b5e2c9ec3fb4d0b9cc425f704b7d1634c23a03a9

  2. Domain

    • ykkadm[.]icu

    • ynsftkg[.]top

    • dgpyynxzb[.]com

    • b-ty[.]com

    • www.vvpolo[.]top

    • baknx[.]xyz

    • nxbcak[.]xyz

    • zoyee[.]cn

    • evnspccskh[.]com

  3. IP

    • 47.236.246[.]131

    • 47.237.9[.]119

    • 13.214.19[.]168

    • 18.140.4[.]4

Tham khảo

  1. Hook for Gold: Inside GoldFactory's Сampaign That Turns Apps Into Goldmines | Group-IB Blog

  2. GoldFactory Hits Southeast Asia with Modified Banking Apps Driving 11,000+ Infections

  3. We identified iOS trojan stealing facial recognition data | Group-IB Blog

#malware-analysis#threat-intelligence#android-banking-trojan#decompile#goldfactory

Newsletters

Part 1 of 50

More from this blog

F

FPT IS Security

738 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.