Phát Hiện Mã Độc Ngân Hàng Từ Campuchia, AI Nâng Tầm Hacker Toàn Cầu
Trong bối cảnh nhiều quốc gia ASEAN đã đưa ra cảnh báo chính thức về các vụ xâm nhập chiếm quyền điều khiển điện thoại suốt ba năm qua, việc truy tìm nguồn gốc phát tán vẫn là thách thức lớn. Tuy nhiên, đội ngũ chuyên gia công nghệ thuộc dự án phi lợi nhuận Chống Lừa Đảo của Việt Nam, sau thời gian dài theo dõi và nghiên cứu, đã phát hiện một loại Trojan ngân hàng trên Android được vận hành từ nhiều địa điểm, bao gồm khu phức hợp K99 Triumph City tại Campuchia.
Kết Nối Giữa Công Nghệ Cao và Tội Phạm Buôn Người
Ông Ngô Minh Hiếu, Giám đốc dự án Chống Lừa Đảo, chia sẻ rằng kết luận này dựa trên phân tích kỹ thuật, lời khai từ nạn nhân trốn thoát khỏi khu cưỡng bức lao động ở Campuchia và bằng chứng thu thập trực tiếp. Khu phức hợp K99 Triumph City đã được Liên Hợp Quốc và các tổ chức khác báo cáo là trung tâm lừa đảo, liên kết với quan chức cấp cao và sử dụng lao động cưỡng bức cho các chiến dịch lừa đảo qua tin nhắn, cuộc gọi và email.
Nghiên cứu chuyên sâu cho thấy, vào tháng 3 năm 2025, có sự gia tăng đột biến các truy vấn DNS cùng với việc đăng ký tên miền hàng loạt. Dữ liệu chỉ ra rằng hầu hết nạn nhân đến từ Đông Nam Á, Châu Âu và Mỹ Latinh, với lượng truy vấn cao nhất tập trung tại Indonesia, Thái Lan, Tây Ban Nha và Thổ Nhĩ Kỳ. Những bất thường này đã dẫn đến việc phát hiện loại Trojan ngân hàng trên Android.
Phần Mềm Gián Điệp Thông Minh và Chiến Dịch Lừa Đảo Phức Tạp
Trong lĩnh vực internet, các chuyên gia bảo mật theo dõi truy vấn DNS để xác định nạn nhân bị điều hướng đến các trang web lừa đảo. Chiến dịch phát tán website giả mạo vẫn hoạt động mạnh mẽ, với trung bình khoảng 35 tên miền mới được đăng ký mỗi tháng, bao gồm các tên miền giả mạo tổ chức chính phủ như vsg.cc (giả mạo Hệ thống An sinh Xã hội Philippines), nmxgo.cc (giả mạo Cảnh sát Nam Phi), idphil.net (giả mạo Bộ Thông tin và Truyền thông Philippines), và djppajakgoid.com (giả mạo Tổng cục Thuế Indonesia).
Sau quá trình nghiên cứu, đội ngũ Chống Lừa Đảo đã xác định nền tảng mã độc này như một dịch vụ tinh vi (Malware-as-a-Service), cho phép giám sát thời gian thực, đánh cắp thông tin đăng nhập và dữ liệu sinh trắc học, trích xuất dữ liệu và gian lận tài chính. Các bảng điều khiển được phân chia theo quốc gia mục tiêu, chẳng hạn như "Nhóm Indonesia", "Nhóm Brazil", "Nhóm Ai Cập", cho thấy sự phân chia hoạt động có tổ chức và quản lý phối hợp chặt chẽ.
Sự Tham Gia Của AI và Deepfake Trong Các Cuộc Tấn Công
Ông Hiếu cũng tiết lộ rằng nhóm nghiên cứu đã tìm thấy các công cụ kiểm tra nhận dạng khuôn mặt bằng AI và tích hợp giọng nói deepfake, nâng cao khả năng tấn công. Cuối năm 2025, các nạn nhân bị giam giữ đã liên hệ với tổ chức Chống Lừa Đảo để cầu cứu từ Sihanoukville, Campuchia. Họ khai rằng bị đánh đập và chích điện nếu không đạt chỉ tiêu lừa đảo.
Bằng chứng sau đó cho thấy các trưởng nhóm lừa đảo hướng dẫn nạn nhân cài đặt tệp APK độc hại qua Facebook Messenger và thực hiện lệnh rút tiền từ tài khoản ngân hàng. Cuộc điều tra này làm sáng tỏ mối liên hệ mật thiết giữa tội phạm công nghệ cao và vấn nạn buôn người tại Đông Nam Á.
Khuyến Cáo An Toàn Cho Người Dùng
Với kết quả nghiên cứu, các tổ chức tội phạm công nghệ cao đã sử dụng công cụ hiện đại như AI và deepfake, kết hợp với mô hình kinh doanh mã độc chuyên nghiệp, khiến các cuộc tấn công trở nên khó lường và có quy mô toàn cầu. Khuyến cáo hiện nay là người dùng tuyệt đối không tải ứng dụng từ liên kết lạ hoặc trang web giả mạo chính phủ, chỉ nên cài đặt từ nguồn chính thống như Google Play Store để bảo vệ an toàn.
