Chuyển đổi số

Cảnh báo mã độc ngân hàng Android đe dọa người dùng ở 21 quốc gia

Phan Văn Hòa 01/05/2026 08:51

Một chiến dịch mã độc ngân hàng Android quy mô lớn có liên hệ với các tổ chức lừa đảo đang lan rộng toàn cầu, đe dọa người dùng ở 21 quốc gia.

Một báo cáo mới từ bộ phận nghiên cứu bảo mật Infoblox Threat Intel thuộc công ty bảo mật Infoblox (Mỹ) đã hé lộ mối liên hệ đáng lo ngại giữa hai vấn đề tưởng chừng tách biệt, đó là các trung tâm lừa đảo sử dụng lao động cưỡng bức tại Đông Nam Á và một chiến dịch mã độc ngân hàng Android hoạt động trên phạm vi toàn cầu.

Ảnh minh họa369
Ảnh minh họa.

Theo nghiên cứu được cộng tác với tổ chức Chống Lừa Đảo (Việt Nam), đây là lần đầu tiên các chuyên gia có bằng chứng rõ ràng cho thấy những nạn nhân bị ép buộc trong các “trung tâm lừa đảo” đang bị khai thác để vận hành hệ thống phát tán phần mềm độc hại, nhắm trực tiếp vào người dùng dịch vụ ngân hàng số.

Mạng lưới lừa đảo có tổ chức, quy mô xuyên quốc gia

Báo cáo chỉ ra rằng hoạt động phát tán mã độc được tổ chức bài bản với quy mô lớn. Các nhóm vận hành liên tục tạo ra các tên miền giả mạo, trung bình khoảng 35 tên miền mới mỗi tháng được thiết kế để bắt chước giao diện ngân hàng hoặc các dịch vụ quen thuộc.

Những trang web này đóng vai trò “bẫy” để dụ người dùng cài đặt ứng dụng độc hại dưới dạng file APK. Các kịch bản lừa đảo thường xoay quanh thông báo ngân hàng giả mạo; cảnh báo tài khoản gặp sự cố; thông báo giao hàng và tin nhắn khẩn cấp yêu cầu xác minh.

Khi người dùng nhấp vào liên kết, họ sẽ được dẫn tới các trang tải xuống ứng dụng giả, từ đó vô tình cài đặt mã độc vào thiết bị Android của mình.

Mã độc kiểm soát thiết bị và đánh cắp tiền theo thời gian thực

Sau khi xâm nhập, mã độc ngân hàng này nhanh chóng chiếm quyền kiểm soát sâu đối với thiết bị. Theo Infoblox, phần mềm độc hại có khả năng chặn và đọc tin nhắn SMS; vượt qua xác thực sinh trắc học; theo dõi và thao túng giao dịch ngân hàng.

Đáng chú ý, mã độc có thể can thiệp trực tiếp vào phiên giao dịch theo thời gian thực. Điều này cho phép kẻ tấn công thực hiện chuyển tiền ngay trong lúc người dùng đang sử dụng ứng dụng, mà nạn nhân hoàn toàn không nhận ra.

Ngoài ra, nó còn sử dụng kỹ thuật overlay để hiển thị các màn hình đăng nhập giả mạo đè lên ứng dụng ngân hàng thật, từ đó đánh cắp thông tin đăng nhập. Trong một số trường hợp, tin tặc thậm chí có thể điều khiển thiết bị từ xa, thực hiện thao tác như chính người dùng.

Mô hình “phần mềm độc hại như một dịch vụ” nguy hiểm

Các nhà nghiên cứu mô tả chiến dịch này hoạt động theo mô hình “phần mềm độc hại như một dịch vụ” (malware-as-a-service). Theo đó, hạ tầng kỹ thuật và công cụ tấn công được xây dựng tập trung, trong khi các “chi nhánh” đảm nhiệm việc phát tán và tương tác với nạn nhân.

Cách tổ chức này giúp hạ thấp rào cản tham gia, cho phép nhiều nhóm tội phạm cùng khai thác hệ thống mà không cần tự phát triển mã độc. Đây cũng là lý do khiến chiến dịch có thể mở rộng nhanh chóng ra nhiều quốc gia khác nhau.

Thực tế, các nạn nhân đã được ghi nhận tại nhiều khu vực, từ Đông Nam Á (Indonesia, Thái Lan) đến châu Âu (Tây Ban Nha, Thổ Nhĩ Kỳ) và cả Mỹ Latinh. Mã độc có khả năng tùy biến theo ngôn ngữ và hệ thống ngân hàng địa phương, giúp tăng tỷ lệ thành công của các cuộc tấn công.

Mối liên hệ với các trung tâm lừa đảo tại Campuchia

Một trong những điểm đáng chú ý nhất của báo cáo là mối liên hệ trực tiếp với các cơ sở lừa đảo tại Campuchia, đặc biệt là khu phức hợp được cho là trung tâm tội phạm mạng tại Sihanoukville.

Các nhà nghiên cứu xác định rằng một phần hạ tầng của chiến dịch được vận hành từ những địa điểm như K99 Triumph City - nơi được mô tả là khu phức hợp có bảo vệ nghiêm ngặt và liên quan đến hoạt động tội phạm mạng.

Nghiêm trọng hơn, những người bị lừa sang làm việc tại đây thường bị ép buộc tham gia vào hoạt động phát tán mã độc, từ việc gửi tin nhắn lừa đảo đến hướng dẫn nạn nhân cài đặt ứng dụng. Điều này biến chiến dịch không chỉ là tội phạm công nghệ cao, mà còn gắn liền với vấn đề buôn người và lao động cưỡng bức.

Trước đó, nhiều báo cáo quốc tế cũng ghi nhận các trường hợp công dân bị dụ dỗ sang Campuchia với lời hứa việc làm hấp dẫn, nhưng sau đó bị ép buộc tham gia các hoạt động lừa đảo trực tuyến.

Cảnh báo và khuyến nghị cho người dùng Android

Các chuyên gia cảnh báo rằng, sự kết hợp giữa công nghệ tinh vi và tổ chức tội phạm có hệ thống đang tạo ra mối đe dọa nghiêm trọng đối với người dùng toàn cầu, đặc biệt là trong lĩnh vực tài chính số.

Để giảm thiểu rủi ro, người dùng Android cần:

- Chỉ cài đặt ứng dụng từ cửa hàng Google Play hoặc nguồn chính thức.

- Không nhấp vào liên kết trong tin nhắn hoặc email đáng ngờ.

- Tránh tải file APK từ các website không rõ nguồn gốc.

- Kiểm tra kỹ quyền truy cập của ứng dụng, đặc biệt là quyền SMS và Trợ năng.

Bên cạnh đó, người dùng cũng nên cảnh giác với các lời mời làm việc ở nước ngoài, đặc biệt là những đề nghị thiếu minh bạch.

Trong bối cảnh các chiến dịch tấn công ngày càng phức tạp và mang tính toàn cầu, việc nâng cao nhận thức và tuân thủ các nguyên tắc bảo mật cơ bản vẫn là yếu tố then chốt để bảo vệ tài sản và dữ liệu cá nhân./.

Nguồn Hackread
Copy Link
0 0 0
x
Cảnh báo mã độc ngân hàng Android đe dọa người dùng ở 21 quốc gia
Google News
POWERED BY ONECMS - A PRODUCT OF NEKO