Một trojan ngân hàng Android mới có tên GoldDigger được phát hiện nhắm mục tiêu vào một số ứng dụng tài chính nhằm mục đích bòn rút tiền của nạn nhân qua các thiết bị lây nhiễm backdoor.
Group-IB cho biết: “Mã độc nhắm vào hơn 50 ứng dụng ngân hàng, ví điện tử và ví tiền số của Việt Nam. Có dấu hiệu cho thấy hacker sẵn sàng mở rộng phạm vi ra khắp khu vực Châu Á Thái Bình Dương và các quốc gia nói tiếng Tây Ban Nha”.
Mã độc được Group-IB (trụ sở tại Singapore) phát hiện lần đầu vào tháng 8/2023, mặc dù có bằng chứng cho thấy nó đã hoạt động từ tháng 6/2023.
Hiện chưa xác định quy mô lây nhiễm chính xác, nhưng các ứng dụng độc hại bị phát hiện đã mạo danh Cổng thông tin của Chính phủ Việt Nam và một công ty năng lượng để yêu cầu quyền truy cập, từ đó thu thập dữ liệu người dùng.
Quy trình tấn công chủ yếu là lạm dụng các dịch vụ trợ năng của Android (nhằm hỗ trợ người dùng khuyết tật sử dụng ứng dụng), để tương tác với các ứng dụng đích và trích xuất thông tin cá nhân, đánh cắp thông tin đăng nhập ứng dụng ngân hàng, chặn tin nhắn SMS và thực hiện nhiều hành vi khác.
Một khi được người dùng cấp quyền, mã độc có thể hiển thị đầy đủ hành động của người dùng và xem số dư tài khoản ngân hàng, lấy mã xác thực hai yếu tố (2FA) và ghi lại các lần nhấn phím, cũng như tạo điều kiện cho thiết bị truy cập từ xa.
Chuỗi tấn công phát tán GoldDigger thông qua các trang web giả mạo là Google Play Store hoặc website các công ty tại Việt Nam.
GoldDigger là một trong số các trojan ngân hàng Android mới xuất hiện trong vài tháng qua. GoldDigger có cơ chế bảo vệ tiên tiến khi sử dụng Virbox Protector nhằm phức tạp hóa việc phân tích mã độc cũng như trốn tránh phát hiện.
Nguồn: The Hacker News