Theo đó, các nhà nghiên cứu tại Group-IB đã phát hiện ra một Trojan Android mới và đặt tên là “GoldDigger”, chúng nhắm mục tiêu cụ thể đến người dùng của hơn 50 ứng dụng ngân hàng và ví tiền điện tử của Việt Nam, với mục đích đánh cắp thông tin cá nhân của họ.
Trojan này hoạt động trên hệ điều hành Android và được Group-IB phát hiện lần đầu tiên vào tháng 6/2023. Nó được các nhà nghiên cứu đặt tên là GoldDigger do hoạt động "GoldActivity" cụ thể được phát hiện trong tệp APK.
Nhóm thông tin tình báo mối de dọa của Group-IB đã xác định được hơn 10 trang web giả mạo cửa hàng ứng dụng Google Play và trang web giả mạo của công ty. GoldDigger mạo danh cổng thông tin của Chính phủ Việt Nam và một công ty năng lượng, lạm dụng dịch vụ trợ năng của Android để trích xuất thông tin cá nhân, đánh cắp thông tin đăng nhập ứng dụng ngân hàng, chặn tin nhắn SMS và thực hiện nhiều hành động khác nhau của người dùng. Hiện nay số lượng thiết bị bị nhiễm và số lượng bị đánh cắp vẫn chưa được xác định.
Hình 1. Trang web giả mạo phân phối GoldDigger
Sau khi được cài đặt và khởi chạy, GoldDigger yêu cầu quyền truy cập vào dịch vụ trợ năng của Android bằng cách cho phép các ứng dụng tương tác với nhau và sửa đổi giao diện người dùng. Bằng cách lạm dụng tính năng này, phần mềm độc hại có thể theo dõi và thao túng các chức năng của thiết bị.
Việc cấp quyền cho phần mềm độc hại sẽ giúp nó theo dõi đầy đủ hoạt động của người dùng và xem số dư tài khoản ngân hàng, lấy mã xác thực hai yếu tố (2FA) và ghi lại các lần thao tác bàn phím, tạo điều kiện truy cập từ xa vào thiết bị. GoldDigger sử dụng cơ chế bảo vệ đặc biệt bằng giải pháp phần mềm Virbox Protector, cho phép Trojan trốn tránh và gây nhiều khó khăn hơn cho các nhà nghiên cứu bảo mật trong việc phân tích để tìm kiếm phần mềm độc hại.
Hình 2. Hồ sơ GoldDigger
Các nhà nghiên cứu cho biết: “Hiện tại, GoldDigger chủ yếu tập trung vào các mục tiêu ở Việt Nam. Tuy nhiên, chúng tôi đã phát hiện ra rằng, ngoài tiếng Việt, phần mềm độc hại này đã bắt đầu xuất hiện các phiên bản ngôn ngữ Tây Ban Nha và tiếng Trung Quốc, do đó, tội phạm mạng có thể có kế hoạch mở rộng hơn nữa phạm vi tiếp cận của GoldDigger tới các quốc gia sử dụng 2 ngôn ngữ này trong tương lai gần”.
Group-IB kêu gọi người dùng đảm bảo thiết bị di động của họ được cập nhật, tránh tải xuống ứng dụng từ các nguồn bên ngoài cửa hàng Google Play và kiểm tra những quyền mà ứng dụng yêu cầu sau khi tải xuống. Cảnh giác và thận trọng là chìa khóa để giữ an toàn tài chính của người dùng.
Quốc Trung
(Theo Group-IB)
14:00 | 09/11/2023
16:00 | 17/03/2023
17:00 | 22/12/2023
10:00 | 06/12/2023
14:00 | 07/03/2022
14:00 | 16/01/2024
14:00 | 09/12/2022
07:00 | 08/01/2024
16:00 | 15/03/2024
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
14:00 | 05/03/2024
Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
15:00 | 18/12/2023
Ngày 12/12, Kyivstar - nhà mạng lớn nhất Ukraine hứng chịu một cuộc tấn công mạng lớn, khiến hàng triệu người dùng mất kết nối di động và Internet. Đáng chú ý sự cố gây ảnh hưởng đến hệ thống cảnh báo không kích của nước này.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024