Theo đó, các nhà nghiên cứu tại Group-IB đã phát hiện ra một Trojan Android mới và đặt tên là “GoldDigger”, chúng nhắm mục tiêu cụ thể đến người dùng của hơn 50 ứng dụng ngân hàng và ví tiền điện tử của Việt Nam, với mục đích đánh cắp thông tin cá nhân của họ.
Trojan này hoạt động trên hệ điều hành Android và được Group-IB phát hiện lần đầu tiên vào tháng 6/2023. Nó được các nhà nghiên cứu đặt tên là GoldDigger do hoạt động "GoldActivity" cụ thể được phát hiện trong tệp APK.
Nhóm thông tin tình báo mối de dọa của Group-IB đã xác định được hơn 10 trang web giả mạo cửa hàng ứng dụng Google Play và trang web giả mạo của công ty. GoldDigger mạo danh cổng thông tin của Chính phủ Việt Nam và một công ty năng lượng, lạm dụng dịch vụ trợ năng của Android để trích xuất thông tin cá nhân, đánh cắp thông tin đăng nhập ứng dụng ngân hàng, chặn tin nhắn SMS và thực hiện nhiều hành động khác nhau của người dùng. Hiện nay số lượng thiết bị bị nhiễm và số lượng bị đánh cắp vẫn chưa được xác định.
Hình 1. Trang web giả mạo phân phối GoldDigger
Sau khi được cài đặt và khởi chạy, GoldDigger yêu cầu quyền truy cập vào dịch vụ trợ năng của Android bằng cách cho phép các ứng dụng tương tác với nhau và sửa đổi giao diện người dùng. Bằng cách lạm dụng tính năng này, phần mềm độc hại có thể theo dõi và thao túng các chức năng của thiết bị.
Việc cấp quyền cho phần mềm độc hại sẽ giúp nó theo dõi đầy đủ hoạt động của người dùng và xem số dư tài khoản ngân hàng, lấy mã xác thực hai yếu tố (2FA) và ghi lại các lần thao tác bàn phím, tạo điều kiện truy cập từ xa vào thiết bị. GoldDigger sử dụng cơ chế bảo vệ đặc biệt bằng giải pháp phần mềm Virbox Protector, cho phép Trojan trốn tránh và gây nhiều khó khăn hơn cho các nhà nghiên cứu bảo mật trong việc phân tích để tìm kiếm phần mềm độc hại.
Hình 2. Hồ sơ GoldDigger
Các nhà nghiên cứu cho biết: “Hiện tại, GoldDigger chủ yếu tập trung vào các mục tiêu ở Việt Nam. Tuy nhiên, chúng tôi đã phát hiện ra rằng, ngoài tiếng Việt, phần mềm độc hại này đã bắt đầu xuất hiện các phiên bản ngôn ngữ Tây Ban Nha và tiếng Trung Quốc, do đó, tội phạm mạng có thể có kế hoạch mở rộng hơn nữa phạm vi tiếp cận của GoldDigger tới các quốc gia sử dụng 2 ngôn ngữ này trong tương lai gần”.
Group-IB kêu gọi người dùng đảm bảo thiết bị di động của họ được cập nhật, tránh tải xuống ứng dụng từ các nguồn bên ngoài cửa hàng Google Play và kiểm tra những quyền mà ứng dụng yêu cầu sau khi tải xuống. Cảnh giác và thận trọng là chìa khóa để giữ an toàn tài chính của người dùng.
Quốc Trung
(Theo Group-IB)
14:00 | 09/11/2023
16:00 | 17/03/2023
17:00 | 22/12/2023
10:00 | 06/12/2023
14:00 | 07/03/2022
14:00 | 16/01/2024
14:00 | 09/12/2022
07:00 | 08/01/2024
16:00 | 15/03/2024
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
15:00 | 25/03/2024
Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
14:00 | 19/12/2023
Một lỗi bảo mật Bluetooth nghiêm trọng được cho là đã tồn tại trong vài năm gần đây có thể bị tin tặc khai thác để chiếm quyền kiểm soát trên các thiết bị Android, Linux, macOS và iOS.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024