Mã độc tấn công người dùng iOS đánh cắp dữ liệu khuôn mặt nguy hiểm thế nào?

[VOV] Xuất hiện trojan đầu tiên tấn công người dùng iOS Việt Nam. Loại mã độc này được tùy chỉnh để tấn công người dùng iPhone với khả năng đánh cắp dữ liệu khuôn mặt và rút tiền từ ứng dụng thanh toán.

Công ty Group-IB, có trụ sở tại Singapore chuyên phát hiện và ngăn chặn các cuộc tấn công mạng, vừa phát hiện phiên bản trojan (mã độc) đầu tiên được tạo ra để nhắm vào iPhone. Đáng chú ý, mã độc này đang tập trung tấn công vào thiết bị của người dùng ở Việt Nam và Thái Lan.

Mã độc đánh cắp dữ liệu sinh trắc của người dùng iOS

Trojan này có tên gọi GoldPickaxe. Tin tặc đã phát tán nó trên hệ điều hành iOS thông qua nền tảng TestFligt – một công cụ được Apple tạo ra để giúp các nhà phát triển phân phối các ứng dụng chưa chính thức (beta) bằng cách gửi đường link cho một số người dùng cài đặt, trước khi được phát hành trên AppStore cho tất cả mọi người. Với TestFlight, các nhà phát triển có thể mời tối đa 10.000 người thử nghiệm cài đặt ứng dụng beta của họ.

GoldPickaxe có thể thu thập thông tin như tin nhắn SMS, FaceID, dữ liệu nhận dạng… Với các thông tin được thu thập dạng này, mục đích nhắm tới của hacker là tấn công và rút tiền từ tài khoản ngân hàng, các ứng dụng tài chính.

Theo Group-IB, sau khi Apple gỡ trojan này ra khỏi TestFlight, tin tặc đã chuyển sang sử dụng phương pháp phát tán thông qua phần mềm quản trị (MDM), thường dùng quản lý thiết bị trong doanh nghiệp.

Chuyên gia công ty an ninh mạng Group-IB cho biết, một trong những lý do nhiều người chọn iPhone vì thiết bị Apple bảo mật hơn máy Android. Tuy nhiên, suy nghĩ này có thể thay đổi khi họ phát hiện phiên bản trojan đầu tiên được tạo ra để nhắm vào iPhone. Đáng chú ý, mã độc này đang tập trung tấn công vào thiết bị của người dùng ở Việt Nam và Thái Lan, đồng thời tội phạm mạng cũng có thể mở rộng phạm vi hoạt động trong thời gian tới.

Phiên bản GoldPickaxe cho iOS thực chất là mã độc GoldDigger, một trojan hoạt động trên Android bắt đầu được phát tán trong năm 2023. Sau khi cài vào iPhone hay smartphone Android, GoldPickaxe có thể thu thập thông tin như FaceID, dữ liệu nhận dạng và tin nhắn SMS, từ đó âm thầm rút tiền từ tài khoản ngân hàng hay ứng dụng tài chính. Dữ liệu sinh trắc học còn có thể bị lợi dụng để tạo deepfake, mạo danh nạn nhân và truy cập tài khoản ngân hàng của họ.

Group-IB cho biết phiên bản Android của mã độc này có nhiều hoạt động độc hại hơn trên iOS do các hạn chế bảo mật cao hơn của Apple. Ngoài ra, trên Android, trojan sử dụng hơn 20 ứng dụng giả mạo khác nhau làm vỏ bọc.

Ông Vũ Ngọc Sơn – Giám đốc Công nghệ, công ty Công nghệ An ninh mạng Quốc gia Việt Nam (NCS) cho biết, từ trước tới giờ các loại mã độc tấn công người dùng chủ yếu là ở trên Android. Vì vậy nếu so về mức độ nguy hiểm của trojan mới này so với các loại trước đây thì nó cũng tương tự. Sở dĩ người ta cảnh báo nhiều về loại mã độc mới này vì nó được thiết kế để có thể tấn công cả người dùng iOS.

ma doc tan cong nguoi dung ios danh cap du lieu khuon mat nguy hiem the nao hinh anh 2
Phát hiện phiên bản trojan đầu tiên được tạo ra để nhắm vào iPhone.

“Nguy cơ lây nhiễm trojan GoldPickaxe không cao. Nguyên nhân là các bước hướng dẫn của nó cũng khá nhiều bước, người bình thường khó thực hiện, khả năng thành công sẽ thấp. Trong khi, nếu muốn tấn công người dùng iOS, tin tặc thường chọn cách khai thác lỗ hổng theo kiểu zero click hay one click hơn, với cách đó tin tặc sẽ không cần phải yêu cầu người dùng thao tác nhiều”, ông Vũ Ngọc Sơn phân tích.

Theo ông Vũ Ngọc Sơn, để phòng tránh người dùng tuyệt đối không cài đặt các ứng dụng từ nguồn không đảm bảo, chỉ cài đặt từ kho ứng dụng chính thức của Apple là AppStore.

Đối với Android và cả iPhone, không click vào bất kỳ link nào được gửi cho bạn qua tin nhắn. Tuyệt đối không cấp quyền nhạy cảm cho ứng dung (app) mới, nhất là quyền trợ năng (Accessibility) và Notification Listener. Khi máy Android cài vào thường tin tặc có thể lấy cắp mã OTP, thông tin tài khoản và thu thập hết toàn bộ thông tin có trên máy như SMS, hình ảnh… toàn bộ quá trình được điều khiển từ xa bởi tin tặc.

Nguồn: VOV