Cảnh báo mã độc mới chuyên đánh cắp tài khoản ngân hàng tại Việt Nam
Đội ngũ của Group-IB phát hiện trong gói ứng dụng Android, GoldDigger đang nhắm mục tiêu đến người dùng của hơn 50 ứng dụng ngân hàng cũng như các ví điện tử tại Việt Nam.
- Cảnh báo: Chiếm đoạt tiền trong tài khoản qua mã độc cài cắm trên Youtube
- Cẩn trọng với mã độc trên Android ăn cắp tiền từ tài khoản ngân hàng, ví điện tử
- Hậu quả từ việc tò mò dịch vụ quảng cáo 'massage thư giãn' dính mã độc
Công ty an ninh mạng quốc tế Group-IB vừa phát cảnh báo về loại virus mới, được thiết kế để bí mật thu thập thông tin người dùng, gồm xác thực ứng dụng ngân hàng nhằm chiếm đoạt tài khoản. Group-IB đặt tên mã độc này là GoldDigger. Mã độc này chuyên hoạt động trên hệ điều hành Android, được phát hiện lần đầu vào tháng 6/2023, nhưng phải đến tháng 8/2023 mới được chú ý đến.
Sỡ dĩ nó được các nhà nghiên cứu bảo mật đặt tên là GoldDigger bởi hoạt động "GoldActivity" cụ thể được phát hiện trong tệp APK. GoldDigger hiện đang nhắm mục tiêu đến người dùng của hơn 50 ứng dụng ngân hàng cũng như các ví điện tử tại Việt Nam.
Theo Group-IB, trước tiên, người dùng có thể nhận được email lừa đảo, trong đó bao gồm các liên kết đến trang Google Play giả mạo hoặc website lừa đảo mạo danh một thương hiệu khác. Một số trang web giả mạo được xây dựng kèm theo đánh giá từ người dùng và biểu tượng của Việt Nam để khiến giao diện thuyết phục hơn. Chẳng hạn như nó đã được ngụy trang trong một ứng dụng Android mạo danh Cổng thông tin của Chính phủ Việt Nam hoặc công ty điện lực/năng lượng.
Sau khi cài đặt, GoldDigger yêu cầu cấp quyền truy cập vào Dịch vụ trợ năng của Android, cho phép nó giám sát và thao tác các chức năng của thiết bị. Khi nhận được sự cho phép, Trojan có thể đánh cắp các thông tin nhạy cảm, bao gồm mật khẩu ứng dụng ngân hàng, cũng như chặn tin nhắn SMS và chuyển chúng đến máy chủ có khả năng ra lệnh và kiểm soát.
Việc cấp quyền cho phần mềm độc hại sẽ giúp nó theo dõi đầy đủ hoạt động của người dùng và xem số dư tài khoản ngân hàng, lấy mã xác thực hai yếu tố (2FA) và ghi lại các lần nhấn phím, tạo điều kiện truy cập từ xa vào thiết bị.
GoldDigger sử dụng cơ chế bảo vệ đặc biệt tiên tiến bằng giải pháp phần mềm Virbox Protector, cho phép Trojan trốn tránh và gây nhiều khó khăn hơn cho các nhà nghiên cứu bảo mật trong việc phân tích để tìm kiếm phần mềm độc hại.
Ông Lê Đức Anh - Giám đốc phát triển kinh doanh của Group-IB tại Việt Nam chia sẻ: hiện tại, GoldDigger chủ yếu tập trung vào các mục tiêu ở Việt Nam. Tuy nhiên, nhóm Threat Intelligence của Group-IB đã phát hiện ra rằng, ngoài tiếng Việt, phần mềm độc hại này đã bắt đầu xuất hiện các phiên bản ngôn ngữ Tây Ban Nha và tiếng Trung Quốc. Do đó tội phạm mạng có thể có kế hoạch mở rộng hơn nữa phạm vi tiếp cận của GoldDigger tới các quốc gia nói tiếng Tây Ban Nha và Trung Quốc trong tương lai gần.
Để giảm thiểu nguy cơ tải về mã độc như GoldDigger, Group-IB kêu gọi người dùng đảm bảo thiết bị di động của họ được cập nhật, tránh tải xuống ứng dụng từ các nguồn bên ngoài cửa hàng Google Play và kiểm tra những quyền mà ứng dụng yêu cầu sau khi tải xuống.
