GoldDigger đã hoạt động ít nhất từ tháng 6/2023. này ngụy trang thành một ứng dụng Android giả mạo cổng thông tin Chính phủ và một công ty năng lượng, mục tiêu chính của nó là đánh cắp thông tin xác thực ngân hàng của người dùng.
Giống với nhiều Trojan Android khác, phần mềm độc hại lợi dụng dịch vụ trợ năng để trích xuất thông tin cá nhân, chặn tin nhắn SMS và thực hiện nhiều hành động khác nhau của người dùng. Ngoài ra, Trojan cũng có khả năng truy cập từ xa.
Một trong những tính năng chính của GoldDigger là việc sử dụng cơ chế bảo vệ tiên tiến Virbox Protector, một phần mềm hợp pháp được xác định trong tất cả các mẫu GoldDigger được phát hiện, cho phép Trojan làm phức tạp đáng kể cả việc phân tích phần mềm độc hại tĩnh và động cũng như trốn tránh sự phát hiện. Điều này đặt ra thách thức trong việc kích hoạt hoạt động độc hại trong sandbox hoặc trình mô phỏng.
Việc sử dụng VirBox bằng Trojan ngân hàng cũng là một xu hướng gần đây. Theo Group-IB, ba Trojan Android hiện đang hoạt động ở khu vực châu Á - Thái Bình Dương (APAC), bao gồm GoldDigger đang sử dụng kỹ thuật trốn tránh này.
Hình 1. Biểu diễn trực quan các tính năng hoạt động của GoldDigger
Do đó, việc phân tích động từng mẫu được bảo vệ bằng VirBox mất rất nhiều thời gian và cần có sự can thiệp thủ công. Các bản cập nhật thường xuyên cho VirBox khiến việc phân tích tĩnh về phần mềm độc hại đó không hiệu quả. Mục tiêu chính của Trojan ngân hàng là lây nhiễm càng nhiều thiết bị càng tốt và giành quyền truy cập vào tài khoản người dùng.
GoldDigger sử dụng các ứng dụng giả mạo tiếng Việt để tấn công nạn nhân. Các nhà nghiên cứu cũng phát hiện ra rằng Trojan này bao gồm các bản dịch ngôn ngữ cho tiếng Tây Ban Nha và tiếng phồn thể, điều này ngụ ý rằng các cuộc tấn công này có thể mở rộng phạm vi ra ngoài Việt Nam, bao gồm các quốc gia nói tiếng Tây Ban Nha và các quốc gia khác trong khu vực APAC.
Phân phối phần mềm độc hại
GoldDigger lây lan qua các trang web giả mạo cửa hàng ứng dụng và một số công ty tại Việt Nam. Những kẻ tấn công rất có thể đã phân phối các liên kết đến các trang web này thông qua phương thức smishing (hình thức tấn công phi kỹ thuật thông qua tin nhắn SMS. Tin nhắn này có thể chứa các liên kết như trang web giả mạo) hoặc truyền thống. Những trang web đó bao gồm các liên kết tải xuống ứng dụng Android độc hại (Hình 2).
.png)
Hình 2. Trang web giả mạo phân phối GoldDigger
Theo mặc định, tất cả các thiết bị Android đều tắt cài đặt “Install from Unknown Sources” để ngăn cài đặt ứng dụng từ các nguồn của bên thứ ba. Nếu tùy chọn này được bật thì APK từ các nguồn khác ngoài Google Play có thể được cài đặt. GoldDigger yêu cầu bật chức năng “Install from Unknown Sources” trên thiết bị của nạn nhân để tải xuống và cài đặt.
Lạm dụng dịch vụ trợ năng
Khi được khởi chạy, GoldDigger sẽ yêu cầu người dùng bật dịch vụ trợ năng của Android. Các dịch vụ trợ năng này nhằm hỗ trợ người dùng khuyết tật vận hành thiết bị của họ, cung cấp các khả năng như đọc màn hình, phóng đại, điều khiển dựa trên cử chỉ, chuyển giọng nói thành văn bản và các tính năng khác. Đáng tiếc là một số Trojan ngân hàng nhất định, chẳng hạn như Gustuff và Gigabud, đang khai thác tính năng này.
Việc cấp quyền dịch vụ trợ năng cho GoldDigger cho phép nó có được khả năng hiển thị đầy đủ về hành động của người dùng và tương tác với các thành phần giao diện người dùng.
Điều này có nghĩa là nó có thể xem số dư tài khoản của nạn nhân, lấy thông tin xác thực thứ hai được cấp để xác thực hai yếu tố và triển khai các chức năng ghi nhật ký thao tác bàn phím, cho phép nó đánh cắp thông tin xác thực.
GoldDigger giám sát 51 ứng dụng tài chính và tiền điện tử tại Việt Nam. Tất cả dữ liệu này được lọc đến các máy chủ chỉ huy và kiểm soát (C2).
.png)
Hình 3. Đánh cắp thông tin xác thực trong GoldDigger
Bằng cách lạm dụng dịch vụ trợ năng, GoldDigger đảm bảo một loạt khả năng xâm nhập. Dựa trên hành vi của các Trojan đã biết khác tương tự như GoldDigger, các nhà nghiên cứu không cho rằng chúng có sự khác biệt đáng kể.
Điều này bao gồm khả năng mô phỏng các tương tác của người dùng cho phép truy cập từ xa vào thiết bị, về cơ bản cung cấp cho thiết bị một cửa sau vào hệ thống của người dùng. Ngoài ra, nó cho phép bỏ qua xác thực hai yếu tố, cho phép GoldDigger thực hiện tạo thanh toán từ một thiết bị hợp pháp.
Hình 4. Mở khóa màn hình thiết bị tự động
Kết luận
Phần mềm độc hại ngân hàng như GoldDigger thường khai thác các dịch vụ hoặc quyền truy cập để thực hiện các hoạt động lừa đảo. Để giảm thiểu GoldDigger cũng như các mối đe dọa tương tự, Group-IB khuyến nghị người dùng luôn kiểm tra các bản cập nhật trên thiết bị di động của họ, tránh tải xuống ứng dụng từ các nguồn thứ ba không đáng tin cậy, bên cạnh đó cần đặc biệt kiểm tra xem ứng dụng yêu cầu những quyền gì sau khi tải xuống.
Group-IB đã thông báo đến các khách hàng của họ tại Việt Nam và nhiều khu vực khác có liên quan về những phát hiện của mình. Đồng thời, chủ động liên hệ với Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam () để chia sẻ các thông tin kỹ thuật cần thiết, bao gồm các chỉ số về khả năng bị xâm phạm, để VNCERT thực hiện các biện pháp giảm thiểu rủi ro thích hợp.
Hữu Tài
(tổng hợp)
10:00 | 06/12/2023
15:00 | 26/10/2023
09:00 | 08/12/2023
17:00 | 22/12/2023
07:00 | 11/12/2023
14:00 | 16/01/2024
16:00 | 15/03/2024
10:00 | 28/08/2023
13:00 | 14/12/2023
07:00 | 08/01/2024
07:00 | 11/03/2024
10:00 | 26/10/2023
10:00 | 13/05/2024
Trong thời đại công nghệ số hiện nay, lỗ hổng bảo mật là một trong những nguyên nhân hàng đầu dẫn đến các cuộc tấn công mạng. Do đó, việc nâng cao hiểu biết và nhận thức về các mối đe dọa mạng ngày càng cần thiết. Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao thế giới, thế nhưng vấn đề bảo vệ dữ liệu cá nhân vẫn còn gặp nhiều bất cập trong xu thế toàn cầu hóa về chuyển đổi số. Bài báo sẽ thông tin tới độc giả thực trạng mối đe dọa về lỗ hổng bảo mật; một số lỗ hổng phổ biến; phương thức, thủ đoạn khai thác, nguyên nhân xuất hiện lỗ hổng bảo mật, từ đó đưa ra những giải pháp phòng chống và ngăn chặn.
09:00 | 28/04/2024
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lợi dụng lỗ hổng CVE-2024-27956 (có điểm 9,9) trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài.
10:00 | 13/05/2024
