VỮNG MÃI MỘT NIỀM TIN
Cảnh báo trojan ngân hàng tấn công người dùng Android Việt Nam
- 24/09/2025
Một chiến dịch tấn công mạng mới với mức độ tinh vi cao vừa được các chuyên gia an ninh mạng cảnh báo, khi mục tiêu trực tiếp là người dùng Android tại Việt Nam và Indonesia. Theo phát hiện từ nhóm nghiên cứu DomainTools, các tội phạm mạng có động cơ tài chính đã phát tán trojan ngân hàng dưới lớp vỏ những ứng dụng giả mạo liên quan đến chính phủ và dịch vụ thanh toán.
Điểm nguy hiểm của chiến dịch này nằm ở kỹ thuật né tránh hiện đại mà nhóm tấn công áp dụng. Chúng xây dựng các website giả mạo Google Play Store với giao diện gần như giống hệt cửa hàng ứng dụng hợp pháp. Khi người dùng bấm tải xuống, thay vì nhận được đường dẫn cố định, một kết nối WebSocket đặc biệt sẽ được khởi tạo. Tệp cài đặt (.apk) được gửi đến theo từng mảnh nhỏ kèm theo thanh tiến trình giả mạo. Thủ thuật này vừa đánh lừa người dùng vừa vượt qua hệ thống tường lửa và các công cụ bảo mật tự động.
.png)
Các phần mềm độc hại được phát tán trong chiến dịch chủ yếu là biến thể của BankBot – một trojan ngân hàng khét tiếng có mã nguồn bị rò rỉ từ năm 2016. Những biến thể này có khả năng hiển thị giao diện đăng nhập giả nhằm đánh cắp thông tin tài khoản, chặn tin nhắn SMS để vượt qua xác thực hai lớp, đồng thời thu thập dữ liệu thanh toán nhạy cảm của người dùng.
Theo phân tích, nhóm đứng sau duy trì hàng trăm tên miền có hạ tầng nhất quán. Các tên miền này thường được đăng ký qua Gname[.]com Pte. Ltd., sử dụng nameserver share-dns[.]net hoặc Cloudflare, đồng thời lưu trữ tại những nhà cung cấp dịch vụ lớn như Alibaba hay Scloud ở Singapore và Indonesia. Trung bình, một tên miền mới được kích hoạt chỉ sau khoảng 10 giờ, phần lớn vào giờ hành chính ở khu vực Đông Á, cho thấy nhiều khả năng nhóm tấn công hoạt động ngay trong khu vực.
Tuy nhiên, sự tinh vi không đồng nghĩa với hoàn hảo. Một số website giả mạo, điển hình như ứng dụng thuế M-Pajak của Indonesia, lại để lộ dấu vết nghiệp dư khi nội dung hiển thị xen lẫn nhiều ngôn ngữ từ Thái, Việt Nam, Bồ Đào Nha đến Indonesia. Điều này cho thấy nhóm tội phạm đã sử dụng lại các mẫu template sẵn có một cách cẩu thả.
Đối với người dùng Việt Nam, mối đe dọa này đặc biệt đáng lo ngại. Các ứng dụng giả mạo thường có tên gọi gần giống với những dịch vụ quen thuộc, khiến người dùng dễ dàng nhầm lẫn và cài đặt. Khi đó, toàn bộ thông tin tài chính cá nhân có thể bị đánh cắp, tài khoản ngân hàng đứng trước nguy cơ bị rút sạch, hoặc bị lợi dụng cho các mục đích phạm pháp khác.
Để hạn chế rủi ro, các chuyên gia khuyến cáo người dùng nên chỉ cài đặt ứng dụng từ Google Play chính thức hoặc các kho uy tín, kiểm tra kỹ thông tin nhà phát triển và số lượt tải trước khi quyết định. Việc kích hoạt xác thực hai lớp, theo dõi biến động tài khoản thường xuyên và cập nhật hệ điều hành cũng là những biện pháp quan trọng. Về phía doanh nghiệp và ngân hàng, việc chủ động đưa ra cảnh báo cho khách hàng về nguy cơ giả mạo sẽ góp phần giảm thiểu thiệt hại.
Chiến dịch trojan ngân hàng lần này là lời nhắc nhở rõ ràng về sự gia tăng tinh vi của tội phạm mạng. Sự kết hợp giữa kỹ thuật né tránh hiện đại và chiêu trò lừa đảo tâm lý xã hội khiến người dùng dễ dàng trở thành nạn nhân chỉ sau một cú chạm màn hình. Với bối cảnh Việt Nam là một trong những mục tiêu chính, mỗi cá nhân cần nâng cao cảnh giác, thận trọng trong từng thao tác tải ứng dụng – bởi đó chính là “lá chắn” đầu tiên và quan trọng nhất để bảo vệ tài sản số.
(Theo WhiteHat)
Điểm nguy hiểm của chiến dịch này nằm ở kỹ thuật né tránh hiện đại mà nhóm tấn công áp dụng. Chúng xây dựng các website giả mạo Google Play Store với giao diện gần như giống hệt cửa hàng ứng dụng hợp pháp. Khi người dùng bấm tải xuống, thay vì nhận được đường dẫn cố định, một kết nối WebSocket đặc biệt sẽ được khởi tạo. Tệp cài đặt (.apk) được gửi đến theo từng mảnh nhỏ kèm theo thanh tiến trình giả mạo. Thủ thuật này vừa đánh lừa người dùng vừa vượt qua hệ thống tường lửa và các công cụ bảo mật tự động.
Các phần mềm độc hại được phát tán trong chiến dịch chủ yếu là biến thể của BankBot – một trojan ngân hàng khét tiếng có mã nguồn bị rò rỉ từ năm 2016. Những biến thể này có khả năng hiển thị giao diện đăng nhập giả nhằm đánh cắp thông tin tài khoản, chặn tin nhắn SMS để vượt qua xác thực hai lớp, đồng thời thu thập dữ liệu thanh toán nhạy cảm của người dùng.
Theo phân tích, nhóm đứng sau duy trì hàng trăm tên miền có hạ tầng nhất quán. Các tên miền này thường được đăng ký qua Gname[.]com Pte. Ltd., sử dụng nameserver share-dns[.]net hoặc Cloudflare, đồng thời lưu trữ tại những nhà cung cấp dịch vụ lớn như Alibaba hay Scloud ở Singapore và Indonesia. Trung bình, một tên miền mới được kích hoạt chỉ sau khoảng 10 giờ, phần lớn vào giờ hành chính ở khu vực Đông Á, cho thấy nhiều khả năng nhóm tấn công hoạt động ngay trong khu vực.
Tuy nhiên, sự tinh vi không đồng nghĩa với hoàn hảo. Một số website giả mạo, điển hình như ứng dụng thuế M-Pajak của Indonesia, lại để lộ dấu vết nghiệp dư khi nội dung hiển thị xen lẫn nhiều ngôn ngữ từ Thái, Việt Nam, Bồ Đào Nha đến Indonesia. Điều này cho thấy nhóm tội phạm đã sử dụng lại các mẫu template sẵn có một cách cẩu thả.
Đối với người dùng Việt Nam, mối đe dọa này đặc biệt đáng lo ngại. Các ứng dụng giả mạo thường có tên gọi gần giống với những dịch vụ quen thuộc, khiến người dùng dễ dàng nhầm lẫn và cài đặt. Khi đó, toàn bộ thông tin tài chính cá nhân có thể bị đánh cắp, tài khoản ngân hàng đứng trước nguy cơ bị rút sạch, hoặc bị lợi dụng cho các mục đích phạm pháp khác.
Để hạn chế rủi ro, các chuyên gia khuyến cáo người dùng nên chỉ cài đặt ứng dụng từ Google Play chính thức hoặc các kho uy tín, kiểm tra kỹ thông tin nhà phát triển và số lượt tải trước khi quyết định. Việc kích hoạt xác thực hai lớp, theo dõi biến động tài khoản thường xuyên và cập nhật hệ điều hành cũng là những biện pháp quan trọng. Về phía doanh nghiệp và ngân hàng, việc chủ động đưa ra cảnh báo cho khách hàng về nguy cơ giả mạo sẽ góp phần giảm thiểu thiệt hại.
Chiến dịch trojan ngân hàng lần này là lời nhắc nhở rõ ràng về sự gia tăng tinh vi của tội phạm mạng. Sự kết hợp giữa kỹ thuật né tránh hiện đại và chiêu trò lừa đảo tâm lý xã hội khiến người dùng dễ dàng trở thành nạn nhân chỉ sau một cú chạm màn hình. Với bối cảnh Việt Nam là một trong những mục tiêu chính, mỗi cá nhân cần nâng cao cảnh giác, thận trọng trong từng thao tác tải ứng dụng – bởi đó chính là “lá chắn” đầu tiên và quan trọng nhất để bảo vệ tài sản số.
(Theo WhiteHat)
.png)
.png)
.png)
.png)
.png)