Trojan iOS và Android mới có tên ‘GoldPickaxe’ sử dụng kỹ thuật xã hội (social engineering) để lừa nạn nhân quét khuôn mặt và dữ liệu ID, từ đó tạo ra các bản deepfake nhằm truy cập ngân hàng trái phép.

Mã độc được phát triển bởi nhóm hacker Trung Quốc có tên ‘GoldFactory’, cũng là tác giả của các chủng mã độc khác như GoldDigger, GoldDiggerPlus và GoldKefu.

Các chuyên gia Group-IB cho biết, các cuộc tấn công của GoldPickaxe tập trung vào khu vực châu Á – Thái Bình Dương, chủ yếu là Thái Lan và Việt Nam. Tuy nhiên, các kỹ thuật mà hacker sử dụng có thể áp dụng cho các mã độc khác và mở rộng phạm vi trên toàn cầu.

Việc phát tán Gold Pickaxe bắt đầu từ tháng 10/2023 và vẫn đang tiếp tục. Hacker tiếp cận nạn nhân thông qua các tin nhắn lừa đảo hoặc bôi nhọ trên ứng dụng LINE. Tin nhắn được viết bằng ngôn ngữ địa phương của nạn nhân, mạo danh các cơ quan hoặc dịch vụ chính phủ, lừa cài đặt ứng dụng độc hại.

Đối với người dùng iOS (iPhone), hacker ban đầu hướng mục tiêu đến URL TestFlight để cài đặt ứng dụng độc hại, nhằm vượt qua quy trình kiểm tra an ninh thông thường. Khi Apple xóa TestFlight, hacker chuyển sang dụ dỗ nạn nhân tải xuống MDM độc hại để từ đó chiếm quyền kiểm soát thiết bị.

Sau khi trojan được cài vào thiết bị dưới dạng ứng dụng chính phủ giả mạo, nó sẽ hoạt động bán tự động, thao túng các chức năng ở chế độ nền, chụp khuôn mặt nạn nhân, chặn SMS đến, yêu cầu dữ liệu ID…

Việc sử dụng dữ liệu ID của nạn nhân để lừa đảo ngân hàng là giả định của Group-IB, cũng được cảnh sát Thái Lan chứng thực, dựa trên thực tế là nhiều viện tài chính đã bổ sung kiểm tra sinh trắc học vào năm ngoái đối với các giao dịch trên một số tiền nhất định.

Một điều cần làm rõ là, mặc dù GoldPickaxe có thể đánh cắp dữ liệu khuôn mặt, ID từ điện thoại iOS và Android, mã độc không chiếm đoạt dữ liệu Face ID hoặc khai thác bất kỳ lỗ hổng nào trên các hệ điều hành di động.

Nguồn: Bleeping Computer