Được Group-IB đặt tên là GoldDigger, phần mềm độc hại Trojan này chuyên hoạt động trên hệ điều hành Android, đã hoạt động kể từ tháng 6/2023, nhưng phải đến tháng 8/2023 mới được chú ý đến.
Công ty an ninh mạng quốc tế Group-IB là chuyên gia trong lĩnh vực bảo mật. |
Phần mềm độc hại này được những nhà nghiên cứu bảo mật đặt tên là GoldDigger do hoạt động "GoldActivity" cụ thể nó được phát hiện trong tệp APK. GoldDigger đang nhắm mục tiêu đến người dùng của hơn 50 ứng dụng ngân hàng tại Việt Nam, cũng như những ví điện tử.
Group-IB cho biết, trước tiên, người dùng có thể nhận được các email lừa đảo, trong đó bao gồm những liên kết đến trang Google Play giả mạo hoặc website lừa đảo mạo danh một thương hiệu khác. Bản thân phầm mềm độc hại Trojan được ngụy trang trong một ứng dụng Android mạo danh Cổng thông tin của Chính phủ Việt Nam hoặc là công ty điện lực/năng lượng.
Sau khi cài đặt, GoldDigger yêu cầu người dùng cấp quyền truy cập vào Dịch vụ trợ năng của Android, cho phép nó giám sát cũng như thao tác các chức năng của thiết bị. Khi nhận được sự cho phép, phần mềm độc hại Trojan có thể đánh cắp các thông tin nhạy cảm, bao gồm mật khẩu ứng dụng ngân hàng, cũng như ngăn chặn tin nhắn SMS và chuyển hướng chúng đến máy chủ có khả năng ra lệnh và kiểm soát.
Việc cấp quyền cho phần mềm độc hại này sẽ giúp nó theo dõi đầy đủ hoạt động của người dùng cũng như xem số dư tài khoản ngân hàng, lấy mã xác thực hai yếu tố (2FA) và ghi lại những lần nhấn phím, tạo điều kiện truy cập từ xa vào thiết bị.
GoldDigger sử dụng cơ chế bảo vệ đặc biệt hiện đại bằng giải pháp phần mềm Virbox Protector, cho phép phần mềm độc hại Trojan trốn tránh và gây nhiều khó khăn hơn cho những nhà nghiên cứu bảo mật trong việc phân tích để tìm kiếm phần mềm độc hại.
Đại diện Group-IB tại Việt Nam đưa ra cảnh báo: “Hiện tại, GoldDigger chủ yếu tập trung vào những mục tiêu ở Việt Nam. Tuy nhiên, nhóm Threat Intelligence của Group-IB cũng đã phát hiện ra rằng, ngoài tiếng Việt, phần mềm độc hại này cũng đã bắt đầu xuất hiện những phiên bản ngôn ngữ Tây Ban Nha và tiếng Trung Quốc”, do đó, “tội phạm mạng có thể sẽ có kế hoạch mở rộng phạm vi tiếp cận của GoldDigger đến các quốc gia nói tiếng Tây Ban Nha cũng như Trung Quốc trong tương lai gần”.
Group-IB kêu gọi người dùng cần đảm bảo thiết bị di động của họ được cập nhật, tránh tải xuống ứng dụng từ những nguồn bên ngoài cửa hàng Google Play và kiểm tra các quyền mà ứng dụng yêu cầu sau khi tải xuống. Cảnh giác cũng như thận trọng là chìa khóa để giữ an toàn tài chính của bạn.