Gần đây, báo cáo của Infoblox Threat Intel (Mỹ) phối hợp với tổ chức phi chính phủ Việt Nam Chong Lua Dao đã tiết lộ một mối đe dọa nguy hiểm: một Trojan ngân hàng Android tinh vi đang được vận hành từ các khu phức hợp lừa đảo tại Campuchia, trong đó có K99 Triumph City ở Sihanoukville.
Đây không phải là lừa đảo thông thường. Đây là Malware-as-a-Service (MaaS) – một nền tảng phần mềm độc hại được cung cấp như dịch vụ, cho phép nhiều nhóm tội phạm sử dụng để thực hiện giám sát, đánh cắp dữ liệu và chuyển tiền trực tiếp từ tài khoản ngân hàng của nạn nhân.

Trojan này nguy hiểm như thế nào?

Khi nạn nhân bị lừa tải và cài đặt ứng dụng giả mạo, Trojan sẽ:

  • Giành toàn quyền kiểm soát thiết bị di động
  • Giám sát thời gian thực (camera, microphone, tin nhắn, cuộc gọi)
  • Đánh cắp thông tin đăng nhập, mật khẩu, và dữ liệu sinh trắc học (khuôn mặt)
  • Chặn mã OTP ngân hàng và thực hiện chuyển khoản mà nạn nhân không hay biết
  • Sử dụng lớp overlay (màn hình chồng) giả mạo xác minh KYC để lừa nạn nhân quét khuôn mặt

Chiến dịch này đã nhắm đến nạn nhân tại ít nhất 21 quốc gia trên 4 châu lục, trong đó có Việt Nam, Thái Lan, Indonesia, Philippines và nhiều nước khác.

Kẻ tấn công sử dụng hàng trăm tên miền giả mạo (lookalike domains) để dẫn dụ nạn nhân tải ứng dụng độc hại. Chúng thường mạo danh cơ quan nhà nước, ngân hàng, sở thuế, hàng không… Dưới đây là một số domain đã được ghi nhận:

Domain Mục tiêu giả mạo
vsgo.cc Hệ thống An sinh Xã hội Philippines
nmxgo.cc Cảnh sát Nam Phi
orgo.cc Quỹ Hưu trí Nhà nước Indonesia
idphil.net Bộ Thông tin và Truyền thông Philippines
immigration-kr.net Cục Nhập cư Hàn Quốc
openbank-es.com Ngân hàng Openbank Tây Ban Nha
pajakgoid.com Tổng cục Thuế Indonesia
cedula-registraduria-gov.org Văn phòng Đăng ký Dân sự Colombia
egov.nbsvgo.cc Chính phủ Philippines (đã thay đổi mục tiêu nhiều lần)
sss.oiago.cc Hệ thống An sinh Xã hội Philippines

Đặc điểm nhận biết:

  • Tên miền thường có dạng ngắn + “go”, “gov” hoặc mã quốc gia (ph, th, vn, ind…).
  • Đuôi phổ biến: .cc, .top, .xyz, .vip.
  • Mỗi tháng xuất hiện khoảng 35 tên miền mới.
  • Nhiều domain được ẩn sau Cloudflare.

Lưu ý quan trọng: Danh sách trên chỉ là ví dụ. Tên miền thay đổi liên tục. Tuyệt đối không click vào bất kỳ link lạ nào yêu cầu tải app, đặc biệt khi được gửi qua Zalo, Facebook Messenger, SMS hoặc email với nội dung “cập nhật thông tin thuế”, “xác minh tài khoản”, “kiểm tra visa”, “nhận hỗ trợ chính phủ”.

Điều đặc biệt đáng báo động là Trojan này được vận hành từ K99 Triumph City – một khu phức hợp lừa đảo khét tiếng tại Campuchia, nơi sử dụng lao động cưỡng bức. Những nạn nhân bị buôn bán đến đây bị ép phải làm những công việc vô nhân đạo, trái với đạo đức:

  • Gửi tin nhắn lừa đảo
  • Hướng dẫn nạn nhân cài đặt ứng dụng độc hại
  • Thực hiện các bước chuyển tiền từ tài khoản bị hack

Tổ chức Chong Lua Dao đã giúp giải cứu một số nạn nhân và thu thập được ảnh chụp màn hình, tin nhắn nhóm kín làm bằng chứng trực tiếp chứng minh các domain trên đang được sử dụng ngay tại khu K99. Khu phức hợp này có mối liên hệ với một số cá nhân và tập đoàn có quan hệ chính trị tại Campuchia, dù chính phủ nước này đang thực hiện các biện pháp trấn áp.

Lời khuyên

  1. Không tải ứng dụng từ link lạ – Chỉ tải ứng dụng ngân hàng, chính phủ từ Google Play hoặc App Store chính thức.
  2. Kiểm tra kỹ URL trước khi click. Tránh các domain có đuôi lạ (.cc, .top, .xyz…).
  3. Không cấp quyền camera, microphone, tin nhắn cho ứng dụng lạ.
  4. Không quét khuôn mặt khi thấy lớp màn hình overlay lạ xuất hiện.
  5. Bật xác thực hai lớp (2FA) và khóa sinh trắc học cho tất cả tài khoản ngân hàng.
  6. Nếu nghi ngờ bị nhiễm: Ngắt kết nối internet ngay lập tức, liên hệ ngân hàng để khóa tài khoản tạm thời và báo cơ quan chức năng.

Các trung tâm lừa đảo tại Campuchia đang kết hợp công nghệ cao (malware tinh vi, AI, deepfake) với lao động cưỡng bức để tạo ra các chiến dịch lừa đảo quy mô công nghiệp. Đây là mối đe dọa thực sự với người dùng Việt Nam.

Sinh viên Khoa An ninh Mạng cần nâng cao nhận thức để tự bảo vệ bản thân, gia đình và có thể đóng góp vào việc chống lại loại tội phạm công nghệ này trong tương lai.

Nguồn tham khảo: Báo cáo “Scams, Slaves and (Malware-as-a) Service: Tracking a Trojan to Cambodia’s Scam Centers” của Infoblox Threat Intel & Chong Lua Dao (10/04/2026).

Thông tin hỗ trợ:

  • Chong Lua Dao: https://chongluadao.vn (tổ chức hỗ trợ nạn nhân buôn người và lừa đảo)
  • Nếu cần báo cáo sự cố: Liên hệ Trung tâm Giám sát An toàn Không gian mạng Quốc gia (NCSC) hoặc Cục An ninh mạng và phòng, chống tội phạm công nghệ cao.

 

N.P.M

KHOA AN TOÀN THÔNG TIN – HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG (PTIT)
📍 Địa chỉ: Tầng 10, Nhà A2, Học viện Công nghệ Bưu chính Viễn thông,
Km10, Đường Nguyễn Trãi, Q. Hà Đông, Hà Nội
🌐 Website: https://infosec.ptit.edu.vn
📧 Email: attt@ptit.edu.vn
📘 Fanpage: facebook.com/KhoaATTT.PTIT