GoldFactory tấn công Đông Nam Á bằng ứng dụng ngân hàng bị sửa đổi

[T-X]

Những tên tội phạm mạng có liên quan đến một nhóm có động cơ tài chính được gọi là GoldFactory đã bị phát hiện đang dàn dựng một loạt tấn công mới nhắm vào người dùng di động ở Indonesia, Thái Lan và Việt Nam bằng cách mạo danh các dịch vụ của chính phủ.

Group-IB cho biết trong một báo cáo kỹ thuật được công bố hôm thứ Tư rằng hoạt động này được quan sát thấy từ tháng 10 năm 2024, liên quan đến việc phân phối các ứng dụng ngân hàng đã sửa đổi hoạt động như một phương tiện cho phần mềm độc hại Android.

Được đánh giá là hoạt động từ tháng 6 năm 2023, GoldFactory lần đầu tiên thu hút sự chú ý vào đầu năm ngoái, khi công ty an ninh mạng có trụ sở tại Singapore này nêu chi tiết về việc tác nhân đe dọa sử dụng các nhóm phần mềm độc hại tùy chỉnh như GoldPickaxe, GoldDigger và GoldDiggerPlus nhắm mục tiêu vào cả thiết bị Android và iOS.

Bằng chứng cho thấy GoldFactory là một nhóm tội phạm mạng nói tiếng Trung Quốc được tổ chức bài bản, có mối liên hệ chặt chẽ với Gigabud, một phần mềm độc hại Android khác bị phát hiện vào giữa năm 2023. Mặc dù có sự khác biệt lớn về cơ sở mã, cả GoldDigger và Gigabud đều được phát hiện có điểm tương đồng về mục tiêu giả mạo và trang đích.

Những trường hợp đầu tiên trong làn sóng tấn công mới nhất được phát hiện ở Thái Lan, sau đó mối đe dọa xuất hiện ở Việt Nam vào cuối năm 2024 và đầu năm 2025 và ở Indonesia từ giữa năm 2025 trở đi.

Group-IB cho biết họ đã xác định được hơn 300 mẫu ứng dụng ngân hàng bị sửa đổi, dẫn đến gần 2.200 vụ lây nhiễm tại Indonesia. Các cuộc điều tra sâu hơn đã phát hiện ra hơn 3.000 hiện vật mà họ cho biết đã dẫn đến không dưới 11.000 vụ lây nhiễm. Khoảng 63% số ứng dụng ngân hàng bị sửa đổi phục vụ cho thị trường Indonesia.

Nói một cách ngắn gọn, chuỗi lây nhiễm bao gồm việc mạo danh các cơ quan chính phủ và các thương hiệu địa phương đáng tin cậy, tiếp cận các mục tiêu tiềm năng qua điện thoại để lừa họ cài đặt phần mềm độc hại bằng cách hướng dẫn họ nhấp vào liên kết được gửi trên các ứng dụng nhắn tin như Zalo.

Trong ít nhất một trường hợp được Group-IB ghi nhận, những kẻ lừa đảo đã giả danh Tổng công ty Điện lực Việt Nam (EVN) và yêu cầu nạn nhân thanh toán hóa đơn tiền điện quá hạn, nếu không sẽ có nguy cơ bị ngừng cung cấp dịch vụ ngay lập tức. Trong cuộc gọi, chúng được cho là đã yêu cầu nạn nhân thêm chúng vào tài khoản Zalo để nhận liên kết tải ứng dụng và liên kết tài khoản.

Các liên kết này chuyển hướng nạn nhân đến các trang đích giả mạo danh sách ứng dụng trên Cửa hàng Google Play, dẫn đến việc triển khai trojan truy cập từ xa như Gigabud, MMRat hoặc Remo, vốn đã xuất hiện vào đầu năm nay bằng cách sử dụng cùng chiến thuật như GoldFactory. Những dropper này sau đó mở đường cho phần mềm độc hại chính lợi dụng các dịch vụ trợ năng của Android để tạo điều kiện cho việc điều khiển từ xa.

"Phần mềm độc hại [...] dựa trên các ứng dụng ngân hàng di động gốc", các nhà nghiên cứu Andrey Polovinkin, Sharmine Low, Hà Thị Thu Nguyên và Pavel Naumov cho biết. "Nó hoạt động bằng cách chèn mã độc vào chỉ một phần của ứng dụng, cho phép ứng dụng gốc duy trì chức năng bình thường. Chức năng của các mô-đun độc hại được chèn có thể khác nhau tùy theo mục tiêu, nhưng chủ yếu là nó bỏ qua các tính năng bảo mật của ứng dụng gốc."

Cụ thể, nó hoạt động bằng cách móc vào logic của ứng dụng để thực thi phần mềm độc hại. Ba họ phần mềm độc hại khác nhau đã được phát hiện dựa trên các khung được sử dụng trong các ứng dụng đã sửa đổi để thực hiện móc thời gian chạy: FriHook, SkyHook và PineHook. Bất kể những khác biệt này, chức năng của các mô-đun vẫn chồng chéo, cho phép:

    Ẩn danh sách các ứng dụng đã bật dịch vụ trợ năng
    Ngăn chặn phát hiện screencast
    Giả mạo chữ ký của ứng dụng Android
    Ẩn nguồn cài đặt
    Triển khai các nhà cung cấp mã thông báo toàn vẹn tùy chỉnh và
    Lấy số dư tài khoản của nạn nhân

Trong khi SkyHook sử dụng khung Dobby công khai để thực thi các hook, FriHook sử dụng tiện ích Frida được tích hợp vào ứng dụng ngân hàng hợp pháp. PineHook, đúng như tên gọi, sử dụng khung hook dựa trên Java có tên là Pine.

Group-IB cho biết phân tích của họ về cơ sở hạ tầng độc hại do GoldFactory dựng lên cũng phát hiện ra bản dựng thử nghiệm trước khi phát hành của một biến thể phần mềm độc hại Android mới có tên là Gigaflower, có khả năng là phiên bản kế nhiệm của phần mềm độc hại Gigabud.

Nó hỗ trợ khoảng 48 lệnh để kích hoạt phát trực tiếp hoạt động của thiết bị và màn hình theo thời gian thực bằng WebRTC; sử dụng các dịch vụ trợ năng để ghi lại thao tác phím, đọc nội dung giao diện người dùng và thực hiện cử chỉ; phục vụ màn hình giả để mô phỏng các bản cập nhật hệ thống, lời nhắc nhập mã PIN và đăng ký tài khoản nhằm thu thập thông tin cá nhân và trích xuất dữ liệu từ hình ảnh liên quan đến thẻ căn cước bằng thuật toán nhận dạng văn bản tích hợp.

Ngoài ra, tính năng quét mã QR hiện đang được phát triển, có khả năng đọc mã QR trên chứng minh thư nhân dân Việt Nam, có thể nhằm mục đích đơn giản hóa quá trình thu thập thông tin chi tiết.

Điều thú vị là GoldFactory dường như đã từ bỏ trojan iOS tùy chỉnh của mình để chuyển sang một phương pháp khác thường, yêu cầu nạn nhân mượn thiết bị Android từ người thân hoặc họ hàng để tiếp tục quá trình. Hiện tại vẫn chưa rõ nguyên nhân dẫn đến sự thay đổi này, nhưng nhiều khả năng là do các biện pháp bảo mật chặt chẽ hơn và việc kiểm duyệt ứng dụng trên iOS.

"Trong khi các chiến dịch trước đây tập trung vào việc khai thác quy trình KYC, hoạt động gần đây cho thấy việc vá trực tiếp các ứng dụng ngân hàng hợp pháp để thực hiện gian lận", các nhà nghiên cứu cho biết. "Việc sử dụng các nền tảng hợp pháp như Frida, Dobby và Pine để sửa đổi các ứng dụng ngân hàng đáng tin cậy cho thấy một phương pháp tinh vi nhưng chi phí thấp, cho phép tội phạm mạng vượt qua các biện pháp phát hiện truyền thống và nhanh chóng mở rộng hoạt động."