-
09/04/2020
-
85
-
553 bài viết
Trojan GoldDigger nhắm mục tiêu vào ứng dụng ngân hàng ở các nước Châu Á
Một trojan ngân hàng Android mới có tên GoldDigger được phát hiện đang nhắm mục tiêu vào một số ứng dụng tài chính nhằm mục đích rút tiền của nạn nhân và tạo backdoor trên các thiết bị nhiễm trojan.
Group-IB cho biết: “Phần mềm độc hại nhắm vào hơn 50 ứng dụng ngân hàng, ví điện tử và ví tiền crypto của Việt Nam” . “Có những dấu hiệu cho thấy mối đe dọa này có thể mở rộng phạm vi ra khắp khu vực APAC và tới cả các quốc gia nói tiếng Tây Ban Nha”.
Phần mềm độc hại này được phát hiện lần đầu tiên vào tháng 8 năm 2023, mặc dù có bằng chứng cho thấy nó đã hoạt động từ tháng 6 năm 2023.
Quy mô lây nhiễm chính xác hiện chưa được xác định, nhưng các ứng dụng độc hại bị phát hiện mạo danh một cổng thông tin của chính phủ Việt Nam và một công ty năng lượng, yêu cầu quyền truy cập nhằm thu thập dữ liệu.
Cụ thể, nó lạm dụng các dịch vụ tiện ích trên Android, được thiết kế để hỗ trợ người khuyết tật khi dùng các ứng dụng, nhằm tương tác với các ứng dụng mục tiêu, trích xuất thông tin cá nhân, đánh cắp thông tin đăng nhập của ứng dụng ngân hàng, chặn tin nhắn SMS và thực hiện các hành động khác của người dùng.
Việc cấp quyền cho phần mềm độc hại cũng cho phép nó có được khả năng xem được đầy đủ hành động của người dùng và số dư tài khoản ngân hàng, lấy mã xác thực hai yếu tố (2FA) hay ghi lại các lần nhấn phím, cũng như tạo điều kiện cho thiết bị truy cập từ xa.
Chuỗi tấn công lây nhiễm GoldDigger sử dụng những trang web giả mạo Google Play Store và trang web giả mạo của các doanh nghiệp tại Việt Nam, làm tăng khả năng các liên kết này tiếp cận với nạn nhân thông qua các kỹ thuật lừa đảo smishing hoặc phishing truyền thống.
Tuy nhiên, sự thành công của chiến dịch phụ thuộc vào việc người dùng có bật tùy chọn "Cài đặt từ nguồn không xác định" để cho phép cài đặt các ứng dụng tùy ý bên ngoài Google Play Store hay không.
GoldDigger là một trong số các trojan ngân hàng Android mới xuất hiện trong vài tháng qua bên cạnh một số lượng lớn các công cụ tương tự hiện đang lưu hành trong thực tế.
“Virbox Protector, một phần mềm hợp pháp được xác định trong tất cả các mẫu GoldDigger, khiến cho việc phân tích tĩnh và động cũng như phát hiện mã độc trở nên khá phức tạp. Đây rõ ràng là một thách thức khi phân tích hành vi độc hại trong môi trường sandbox hoặc mô phỏng.
Group-IB cho biết: “Phần mềm độc hại nhắm vào hơn 50 ứng dụng ngân hàng, ví điện tử và ví tiền crypto của Việt Nam” . “Có những dấu hiệu cho thấy mối đe dọa này có thể mở rộng phạm vi ra khắp khu vực APAC và tới cả các quốc gia nói tiếng Tây Ban Nha”.
Phần mềm độc hại này được phát hiện lần đầu tiên vào tháng 8 năm 2023, mặc dù có bằng chứng cho thấy nó đã hoạt động từ tháng 6 năm 2023.
Quy mô lây nhiễm chính xác hiện chưa được xác định, nhưng các ứng dụng độc hại bị phát hiện mạo danh một cổng thông tin của chính phủ Việt Nam và một công ty năng lượng, yêu cầu quyền truy cập nhằm thu thập dữ liệu.
Cụ thể, nó lạm dụng các dịch vụ tiện ích trên Android, được thiết kế để hỗ trợ người khuyết tật khi dùng các ứng dụng, nhằm tương tác với các ứng dụng mục tiêu, trích xuất thông tin cá nhân, đánh cắp thông tin đăng nhập của ứng dụng ngân hàng, chặn tin nhắn SMS và thực hiện các hành động khác của người dùng.
Việc cấp quyền cho phần mềm độc hại cũng cho phép nó có được khả năng xem được đầy đủ hành động của người dùng và số dư tài khoản ngân hàng, lấy mã xác thực hai yếu tố (2FA) hay ghi lại các lần nhấn phím, cũng như tạo điều kiện cho thiết bị truy cập từ xa.
Chuỗi tấn công lây nhiễm GoldDigger sử dụng những trang web giả mạo Google Play Store và trang web giả mạo của các doanh nghiệp tại Việt Nam, làm tăng khả năng các liên kết này tiếp cận với nạn nhân thông qua các kỹ thuật lừa đảo smishing hoặc phishing truyền thống.
Tuy nhiên, sự thành công của chiến dịch phụ thuộc vào việc người dùng có bật tùy chọn "Cài đặt từ nguồn không xác định" để cho phép cài đặt các ứng dụng tùy ý bên ngoài Google Play Store hay không.
GoldDigger là một trong số các trojan ngân hàng Android mới xuất hiện trong vài tháng qua bên cạnh một số lượng lớn các công cụ tương tự hiện đang lưu hành trong thực tế.
“Virbox Protector, một phần mềm hợp pháp được xác định trong tất cả các mẫu GoldDigger, khiến cho việc phân tích tĩnh và động cũng như phát hiện mã độc trở nên khá phức tạp. Đây rõ ràng là một thách thức khi phân tích hành vi độc hại trong môi trường sandbox hoặc mô phỏng.
Nguồn: The Hacker News