Phần mềm độc hại được triển khai ở quy mô công nghiệp
Tháng 4/2026, lần đầu tiên, các nhà nghiên cứu an ninh mạng thu thập được bằng chứng đủ thuyết phục để kết nối một loại malware Android với một khu phức hợp lừa đảo cụ thể tại Campuchia.
Đây là kết quả hợp tác hơn hai năm giữa hãng an ninh mạng có trụ sở tại California, Hoa Kỳ Infoblox Threat Intel và tổ chức phi lợi nhuận về an toàn mạng của Việt Nam Chống Lừa Đảo do chuyên gia Ngô Minh Hiếu (Hiếu PC) sáng lập và điều hành.
Báo cáo chung mang tên "Scams, Slaves & Malware-as-a-Service: Tracking a Trojan to Cambodia's Scam Centers" được công bố ngày 10/4/2026, vạch trần một thực tế đáng lo ngại: các ổ lừa đảo tại Đông Nam Á không còn dừng lại ở việc gọi điện dụ dỗ hay nhắn tin lừa tình nữa, họ đã chuyển sang triển khai phần mềm độc hại quy mô công nghiệp.
Xuất hiện hình thức lừa đảo bằng phần mềm độc hại chiếm quyền điều khiển điện thoại.
Chuyên gia an ninh mạng Ngô Minh Hiếu cho biết, cuộc điều tra được khởi động khi Infoblox ghi nhận một đột biến bất thường trong lưu lượng DNS (Domain Name System) từ hệ thống khách hàng. Theo dõi luồng lưu lượng bất thường này, các chuyên gia của Infoblox đã phát hiện ra một nền tảng Malware-as-a-Service (MaaS) hoạt động tinh vi và chưa từng được ghi nhận trước đây. Nền tảng này đã hoạt động ít nhất từ 2023, chuyên thực hiện các hoạt động gian lận tài chính quy mô lớn, nhắm vào nạn nhân tại ít nhất 21 quốc gia trên 4 châu lục.
Các nhà nghiên cứu đã phát hiện một phần mềm độc hại nguỵ trang dưới dạng tệp tin hợp pháp đánh lừa người dùng ngân hàng Android tinh vi. Phần mềm này có khả năng ciám sát thời gian thực mọi hoạt động trên thiết bị của nạn nhân, đánh cắp thông tin đăng nhập và dữ liệu sinh trắc học (vân tay, khuôn mặt), chặn tin nhắn SMS và cuộc gọi, truy cập camera và microphone từ xa, cài đặt thêm phần mềm độc hại sau khi đã xâm nhập thiết bị.
Từ đó, kẻ gian kiểm soát toàn bộ thiết bị từ xa như phần mềm giám sát chuyên nghiệp. Một khi bị nhiễm, nạn nhân gần như mất toàn quyền kiểm soát chiếc điện thoại của mình.
Chuyên gia Ngô Minh Hiếu cho hay, đây không phải là những vụ lừa đảo đơn lẻ ngẫu nhiên. Đây là một dây chuyền sản xuất tội phạm hoàn chỉnh. Nền tảng MaaS đăng ký khoảng 35 tên miền mới mỗi tháng, với hơn 400 tên miền được tạo ra trong năm 2025 để nhắm vào nạn nhân. Các tên miền này được thiết kế để giả mạo các tổ chức chính phủ và ngân hàng uy tín.
Phần mềm độc hại này này đã hoạt động tích cực tại ít nhất 21 quốc gia, với nạn nhân rải rác từ Philippines, Morocco đến Brazil. Trong hệ thống khách hàng của Infoblox, các quốc gia bị ảnh hưởng nặng nhất là Indonesia, Thái Lan, Tây Ban Nha và Thổ Nhĩ Kỳ. Riêng tại Philippines, một vụ cụ thể ghi nhận nạn nhân mất tiền từ 3 tài khoản ngân hàng và 2 ví điện tử chỉ trong vòng 90 phút.
Mối quan hệ trực tiếp với khu phức hợp lừa đảo
Chuyên gia Ngô Minh Hiếu cho hay, điều khiến báo cáo này trở nên đặc biệt là sự kết hợp giữa phân tích kỹ thuật và bằng chứng thực địa. Đây là lần đầu tiên bằng chứng kỹ thuật kết hợp với nhân chứng thực tế (nạn nhân buôn người thoát nạn) xác nhận một loại phần mềm độc hại cụ thể được vận hành từ một trung tâm lừa đảo có địa chỉ cụ thể.
Các nhà nghiên cứu xác định khu phức hợp K99 Triumph City tại Sihanoukville, Campuchia là một trong các địa điểm vận hành phần mềm lừa đảo. K99 Triumph City thuộc tập đoàn K99 Group, được Liên Hợp Quốc và nhiều tổ chức nhân quyền ghi nhận là nơi sử dụng lao động cưỡng bức để thực hiện các chiến dịch lừa đảo quy mô lớn.
Các chuyên gia nhận định đây là một "perfect storm" - cơn bão hoàn hảo, khi công nghệ AI, phần mềm độc hại tiên tiến và bối cảnh kinh tế khó khăn hội tụ lại với nhau. Với AI, kẻ lừa đảo có thể tạo nội dung đa ngôn ngữ, làm giả giọng nói và khuôn mặt bằng deepfake, cá nhân hóa từng cuộc tấn công theo đúng hoàn cảnh của nạn nhân. Và tất cả điều này đang được thực hiện ở quy mô chưa từng có.
Mạng lưới Chống Lừa Đảo ở Việt Nam có vai trò quan trọng trong phát hiện này. Đây là cầu nối thiết yếu giữa bằng chứng kỹ thuật từ Infoblox và bằng chứng từ thực địa tại các scam compound.
Cuối năm 2025, các chuyên gia từ Chống Lừa Đảo đã thu thập được một lượng lớn bằng chứng do một số nạn nhân bị giam giữ và cưỡng bức lao động tại khu phức hợp lừa đảo K99 Triumph City cung cấp. Đây là những tài liệu mà không có công cụ kỹ thuật nào có thể tìm ra: nhật ký chat nội bộ, ảnh chụp màn hình từ các máy tính làm việc bên trong trung tâm lừa đảo, và các dữ liệu vận hành thực tế.
Với hơn năm năm theo sát hệ sinh thái lừa đảo tại Đông Nam Á, chuyên gia Ngô Minh Hiếu mang đến cho cuộc điều tra chiều sâu mà dữ liệu kỹ thuật đơn thuần không thể cung cấp: hiểu biết về cấu trúc vận hành, mạng lưới tội phạm khu vực, và cách thức tuyển dụng nhân lực cho các khu phức hợp lừa đảo - từ ép buộc đến tự nguyện. Đây chính là mảnh ghép còn thiếu để hoàn tất bức tranh điều tra.
Để không trở thành nạn nhân của kẻ phạm tội, chuyên gia Ngô Minh Hiếu khuyên người dùng chỉ cài ứng dụng từ Google Play hoặc App Store chính thức; Tuyệt đối không cấp quyền điều khiển từ xa cho bất kỳ ứng dụng nào; Cảnh giác cao độ với các file .apk được gửi qua mạng xã hội hoặc tin nhắn
Đây là lần đầu tiên một cuộc điều tra mà Chống Lừa Đảo đồng tác giả được đăng tải song song trên The Economist và Time Magazine - hai trong những tạp chí có uy tín và tầm ảnh hưởng lớn nhất thế giới. Điều đó không chỉ khẳng định chất lượng nghiên cứu của tổ chức, mà còn đặt Việt Nam vào bản đồ chống tội phạm mạng quốc tế với tư cách một đối tác chủ động và có trách nhiệm.
