Trojan mới đánh cắp xác thực sinh trắc học

Theo các nhà nghiên cứu, trojan này phát triển bởi nhóm tin tặc GoldFactory đến từ Trung Quốc, đồng thời cũng là tác giả của một số loại phần mềm độc hại khác như GoldDigger, GoldDiggerPlus và GoldKefu.

Khác với virus, trojan không tự sao chép bằng cách lây nhiễm các tệp hoặc máy tính khác. Loại phần mềm độc hại này thường sẽ đánh lừa người dùng tải và cài đặt mã độc trên thiết bị của họ. Sau khi xâm nhập thành công, một trojan có thể thực hiện các hành động đã được kẻ tấn công thiết kế sẵn.

Theo báo cáo chi tiết của Group-IB, các tin tặc GoldFactory đã từng phát triển một họ trojan nhắm mục tiêu vào các ứng dụng ngân hàng cực kỳ tinh vi, bao gồm GoldDigger được phát hiện trước đó và GoldDiggerPlus, GoldKefu và mới nhất là GoldPickaxe.

Điều khiến GoldPickaxe trở thành một trojan nguy hiểm hơn chính là khả năng khai thác dữ liệu sinh trắc học bị đánh cắp. Từ đó, các tin tặc có thể sử dụng công cụ AI để tạo ra Deepfake bằng cách thay thế khuôn mặt của chúng bằng khuôn mặt của nạn nhân để truy cập trái phép vào tài khoản ngân hàng hoặc một số dữ liệu khác được bảo vệ bằng nhận dạng khuôn mặt hoạt động như xác thực đa nhân tố (2FA).

Các nhà nghiên cứu của Group-IB đã phát hiện ra rằng trojan GoldPickaxe hiện chủ yếu nhắm mục tiêu vào người dùng khu vực châu Á - Thái Bình Dương, cụ thể là Thái Lan và Việt Nam. Các tin tặc đã tiếp cận các nạn nhân thông qua tin nhắn lừa đảo trên ứng dụng nhắn tin LINE. Những tin nhắn này được viết bằng ngôn ngữ địa phương (tùy từng khu vực) để mạo danh các ngân hàng địa phương và các tổ chức chính phủ, nhằm đánh lừa người dùng cài đặt ứng dụng độc hại.

Đối với người dùng iOS, tin tặc ban đầu hướng mục tiêu đến URL TestFlight để cài đặt ứng dụng, nhằm vượt qua quy trình kiểm tra an ninh. Khi Apple xóa TestFlight, các tin tặc chuyển sang dụ dỗ nạn nhân tải xuống MDM độc hại đẻ từ đó chiếm quyền kiểm soát thiết bị. Sau khi trojan được cài đặt dưới dạng ứng dụng giả mạo, nó sẽ thao túng các chức năng ở chế độ nền, chụp khuôn mặt nạn nhân, chặn tin nhắn SMS đến, yêu cầu dữ liệu ID,...

GoldPickaxe là trojan trên iOS đầu tiên được Group-IB phát hiện, đồng thời hoạt động như một proxy kiểm soát lưu lượng truy cập đối với các kết nối của kẻ tấn công. Phiên bản Android của nó thậm chí còn có nhiều chức năng hơn so với phiên bản iOS.

Khuyến cáo các giải pháp phòng ngừa Trojan

Theo nhà nghiên cứu Andrey Polovinkin của Group-IB cho biết, GoldFactory là một nhóm tin tặc có kỹ năng và nhiều chiến thuật khác nhau, ví dụ như ghi nhật ký truy cập; tạo trang web ngân hàng, cảnh báo và giả mạo danh tính; thu thập dữ liệu nhận dạng khuôn mặt.

Đối với các ngân hàng và tổ chức tài chính, các chuyên gia của Group-IB khuyến cáo nên triển khai hệ thống giám sát phiên người dùng như giải pháp chống gian lận của Group-IB để phát hiện sự hiện diện của phần mềm độc hại và chặn các phiên bất thường trước khi người dùng nhập bất kỳ thông tin cá nhân nào.

Đối với người dùng thiết bị di động thì nên sử dụng các phần mềm chống virus uy tín để ngăn chặn và loại bỏ trojan di động. Đồng thời cần tránh nhấp vào các liên kết hoặc tệp đính kèm đáng ngờ, thường xuyên cập nhật thiết bị và ứng dụng, chỉ tải xuống ứng dụng từ các nguồn đáng tin cậy. Nếu có bất kỳ dấu hiệu lây nhiễm nào, chẳng hạn như quảng cáo tự bật lên, hao pin bất thường, người dùng nên quét thiết bị của mình bằng công cụ loại bỏ phần mềm độc hại và xóa mọi tệp hoặc ứng dụng đáng ngờ.