Trojan ngân hàng Android từ Campuchia lan ra 21 quốc gia: Lộ mạng lưới lừa đảo, lao động cưỡng bức và mô hình Malware-as-a-Service
Trojan ngân hàng Android liên quan đến các “ổ lừa đảo” tại Campuchia lan rộng ra 21 quốc gia
Một báo cáo mới từ Infoblox Threat Intel đã kết nối hai vấn đề thường được nhắc đến riêng lẻ nhưng hiếm khi có bằng chứng liên quan trực tiếp. Infoblox cho biết họ đã xác định được mối liên hệ đầu tiên được xác nhận giữa một “ổ lừa đảo” tại Đông Nam Á sử dụng lao động cưỡng bức và một trojan ngân hàng Android đang được sử dụng trong các cuộc tấn công trên 21 quốc gia.
Nghiên cứu, được thực hiện cùng tổ chức phi lợi nhuận Việt Nam Chong Lua Dao, cho thấy những người bị buôn bán vào các trung tâm lừa đảo bị ép buộc tham gia vào hệ thống phát tán mã độc nhắm vào người dùng ngân hàng di động. Theo các nhà nghiên cứu, mối liên hệ này cho thấy con người đang bị ép buộc hỗ trợ vận hành các hoạt động lừa đảo trực tuyến nhằm chiếm đoạt tài sản của người khác.
Khi phân tích cách phần mềm độc hại lây lan, báo cáo chỉ ra việc các tên miền giả mạo được tạo ra liên tục theo từng tháng. Các nhà điều tra ghi nhận khoảng 35 tên miền mới được đăng ký định kỳ, tất cả đều được thiết kế để bắt chước các dịch vụ uy tín hoặc giao diện ngân hàng.
Những trang web này đánh lừa nạn nhân cài đặt các ứng dụng Android độc hại được ngụy trang thành công cụ hợp pháp. Báo cáo mô tả các chiêu dụ phổ biến như thông báo ngân hàng giả, thông báo giao hàng hoặc các tin nhắn yêu cầu người dùng cài ứng dụng ngoài cửa hàng chính thức.
Sau khi cài đặt, trojan cho phép kẻ tấn công kiểm soát thiết bị ở mức cao. Nó có thể chặn tin nhắn SMS, vượt qua xác thực sinh trắc học và thao túng phiên giao dịch ngân hàng theo thời gian thực. Sự kết hợp này cho phép kẻ tấn công chuyển tiền mà không kích hoạt các cảnh báo bảo mật mà người dùng thường tin tưởng.
Theo báo cáo của Infoblox chia sẻ với Hackread.com, các nạn nhân đã được xác định ở nhiều khu vực trên thế giới, bao gồm Indonesia và Thái Lan ở Đông Nam Á, Tây Ban Nha và Thổ Nhĩ Kỳ tại châu Âu, cùng nhiều quốc gia ở Mỹ Latinh. Điều này cho thấy hạ tầng tấn công có khả năng nhắm mục tiêu nhiều ngân hàng khác nhau và thích ứng với ngôn ngữ địa phương, giúp tăng tỷ lệ thành công.
Một điểm đáng chú ý khác là khả năng duy trì quyền kiểm soát sau khi cài đặt. Mã độc có thể chèn lớp giao diện đăng nhập giả lên trên ứng dụng ngân hàng thật, thu thập thông tin đăng nhập khi người dùng nhập vào và gửi về cho kẻ tấn công. Trong một số trường hợp, nó còn có thể điều khiển thiết bị từ xa, cho phép thực hiện giao dịch như thể chính người dùng đang thao tác.
Hình ảnh đầu tiên cho thấy các ứng dụng Android độc hại được thiết kế nhằm nhắm mục tiêu người dùng tại Brazil. Hình ảnh thứ hai là tin nhắn do một lao động bị buôn bán gửi tới tổ chức Chong Lua Dao, cầu cứu được giải thoát khỏi khu phức hợp K99 Triumph City tại Sihanoukville, Campuchia. Hình ảnh thứ ba ghi lại một trạm làm việc được sử dụng bên trong chính khu phức hợp này. (Nguồn: Infoblox)
Các nhà nghiên cứu cho biết hạ tầng vận hành mã độc này được đặt tại nhiều địa điểm, bao gồm khu phức hợp K99 Triumph City ở Sihanoukville, Campuchia – được cho là một tổ hợp tội phạm mạng được bảo vệ nghiêm ngặt.
Mối liên hệ với các “ổ lừa đảo” tại Cambodia khiến vấn đề trở nên nghiêm trọng hơn. Infoblox Threat Intel và Chong Lua Dao cho biết những người bên trong các cơ sở này bị ép buộc tham gia vào nhiều khâu, từ gửi tin nhắn lừa đảo đến hướng dẫn nạn nhân cài đặt ứng dụng độc hại. Điều này biến một chiến dịch tội phạm mạng thông thường thành hệ thống tội phạm có tổ chức, gắn liền với lao động cưỡng bức.
Những phát hiện này mang tính cảnh báo mạnh mẽ. Theo Hackread.com từng đưa tin vào tháng 4/2024, lực lượng chức năng Ấn Độ đã giải cứu hàng trăm công dân bị lừa sang Campuchia với lời hứa việc làm hợp pháp, nhưng sau đó bị ép buộc làm việc cho các băng nhóm tội phạm mạng.
Để tìm hiểu sâu hơn, báo cáo của Infoblox cung cấp các phân tích kỹ thuật chi tiết, bao gồm cả các chỉ số nhận diện xâm nhập (IOC).
Một báo cáo mới từ Infoblox Threat Intel đã kết nối hai vấn đề thường được nhắc đến riêng lẻ nhưng hiếm khi có bằng chứng liên quan trực tiếp. Infoblox cho biết họ đã xác định được mối liên hệ đầu tiên được xác nhận giữa một “ổ lừa đảo” tại Đông Nam Á sử dụng lao động cưỡng bức và một trojan ngân hàng Android đang được sử dụng trong các cuộc tấn công trên 21 quốc gia.
Khi phân tích cách phần mềm độc hại lây lan, báo cáo chỉ ra việc các tên miền giả mạo được tạo ra liên tục theo từng tháng. Các nhà điều tra ghi nhận khoảng 35 tên miền mới được đăng ký định kỳ, tất cả đều được thiết kế để bắt chước các dịch vụ uy tín hoặc giao diện ngân hàng.
Những trang web này đánh lừa nạn nhân cài đặt các ứng dụng Android độc hại được ngụy trang thành công cụ hợp pháp. Báo cáo mô tả các chiêu dụ phổ biến như thông báo ngân hàng giả, thông báo giao hàng hoặc các tin nhắn yêu cầu người dùng cài ứng dụng ngoài cửa hàng chính thức.
Sau khi cài đặt, trojan cho phép kẻ tấn công kiểm soát thiết bị ở mức cao. Nó có thể chặn tin nhắn SMS, vượt qua xác thực sinh trắc học và thao túng phiên giao dịch ngân hàng theo thời gian thực. Sự kết hợp này cho phép kẻ tấn công chuyển tiền mà không kích hoạt các cảnh báo bảo mật mà người dùng thường tin tưởng.
Theo báo cáo của Infoblox chia sẻ với Hackread.com, các nạn nhân đã được xác định ở nhiều khu vực trên thế giới, bao gồm Indonesia và Thái Lan ở Đông Nam Á, Tây Ban Nha và Thổ Nhĩ Kỳ tại châu Âu, cùng nhiều quốc gia ở Mỹ Latinh. Điều này cho thấy hạ tầng tấn công có khả năng nhắm mục tiêu nhiều ngân hàng khác nhau và thích ứng với ngôn ngữ địa phương, giúp tăng tỷ lệ thành công.
Mô hình Malware-as-a-Service
Các nhà nghiên cứu mô tả chiến dịch này là mô hình “malware-as-a-service” (mã độc như một dịch vụ), trong đó công cụ và hạ tầng được vận hành tập trung, còn các nhóm liên kết chịu trách nhiệm phát tán và tiếp cận nạn nhân. Cách thức này giúp nhiều nhóm khác dễ dàng tham gia mà không cần tự xây dựng hệ thống riêng.Một điểm đáng chú ý khác là khả năng duy trì quyền kiểm soát sau khi cài đặt. Mã độc có thể chèn lớp giao diện đăng nhập giả lên trên ứng dụng ngân hàng thật, thu thập thông tin đăng nhập khi người dùng nhập vào và gửi về cho kẻ tấn công. Trong một số trường hợp, nó còn có thể điều khiển thiết bị từ xa, cho phép thực hiện giao dịch như thể chính người dùng đang thao tác.
Khu phức hợp K99 tại Campuchia và vấn đề lao động cưỡng bức
Hình ảnh đầu tiên cho thấy các ứng dụng Android độc hại được thiết kế nhằm nhắm mục tiêu người dùng tại Brazil. Hình ảnh thứ hai là tin nhắn do một lao động bị buôn bán gửi tới tổ chức Chong Lua Dao, cầu cứu được giải thoát khỏi khu phức hợp K99 Triumph City tại Sihanoukville, Campuchia. Hình ảnh thứ ba ghi lại một trạm làm việc được sử dụng bên trong chính khu phức hợp này. (Nguồn: Infoblox)
Các nhà nghiên cứu cho biết hạ tầng vận hành mã độc này được đặt tại nhiều địa điểm, bao gồm khu phức hợp K99 Triumph City ở Sihanoukville, Campuchia – được cho là một tổ hợp tội phạm mạng được bảo vệ nghiêm ngặt.
Mối liên hệ với các “ổ lừa đảo” tại Cambodia khiến vấn đề trở nên nghiêm trọng hơn. Infoblox Threat Intel và Chong Lua Dao cho biết những người bên trong các cơ sở này bị ép buộc tham gia vào nhiều khâu, từ gửi tin nhắn lừa đảo đến hướng dẫn nạn nhân cài đặt ứng dụng độc hại. Điều này biến một chiến dịch tội phạm mạng thông thường thành hệ thống tội phạm có tổ chức, gắn liền với lao động cưỡng bức.
Những phát hiện này mang tính cảnh báo mạnh mẽ. Theo Hackread.com từng đưa tin vào tháng 4/2024, lực lượng chức năng Ấn Độ đã giải cứu hàng trăm công dân bị lừa sang Campuchia với lời hứa việc làm hợp pháp, nhưng sau đó bị ép buộc làm việc cho các băng nhóm tội phạm mạng.
Khuyến nghị
Nếu bạn nhận được lời mời làm việc tại Campuchia, cần đặc biệt thận trọng. Đối với người dùng Android, nên chỉ cài ứng dụng từ cửa hàng chính thức và tránh tải các ứng dụng không rõ nguồn gốc.Để tìm hiểu sâu hơn, báo cáo của Infoblox cung cấp các phân tích kỹ thuật chi tiết, bao gồm cả các chỉ số nhận diện xâm nhập (IOC).
