Trojan ngân hàng GoldDigger
Các chuyên gia của Infosec đã phát hiện ra một Trojan ngân hàng Android có tên GoldDigger và xác định nó là mối đe dọa nhắm vào nhiều ứng dụng tài chính. Mục tiêu chính của nó bao gồm lấy tiền của nạn nhân và thiết lập quyền truy cập cửa sau vào các thiết bị bị xâm nhập.
GoldDigger đặc biệt tập trung tấn công vào hơn 50 ứng dụng ngân hàng, ví điện tử và ví tiền điện tử của Việt Nam. Điều đáng lo ngại là có những dấu hiệu cho thấy phần mềm đe dọa này có thể đang chuẩn bị mở rộng hoạt động ra ngoài Việt Nam, có khả năng ảnh hưởng đến nhiều quốc gia hơn trong khu vực Châu Á - Thái Bình Dương (APAC) và những quốc gia nói tiếng Tây Ban Nha.
Các nhà nghiên cứu an ninh mạng lần đầu tiên phát hiện ra GoldDigger vào tháng 8 năm 2023, mặc dù có bằng chứng cho thấy nó có thể đã hoạt động từ tháng 6 năm 2023.
Mục lục
Phần mềm độc hại di động GoldDigger mạo danh các thực thể hợp pháp để thu hút nạn nhân
Phạm vi lây nhiễm chính xác vẫn chưa rõ ràng, nhưng các ứng dụng có hại đã được xác định do hành vi mạo danh cổng thông tin chính phủ Việt Nam và một công ty năng lượng gây nhầm lẫn. Họ khai thác cách ngụy trang này để yêu cầu quyền xâm nhập, một chiến lược nhằm đạt được mục tiêu thu thập dữ liệu của họ.
Điều này chủ yếu liên quan đến việc lạm dụng các dịch vụ trợ năng của Android, ban đầu được thiết kế để hỗ trợ người dùng khuyết tật sử dụng ứng dụng. Tuy nhiên, trong bối cảnh này, các dịch vụ này bị thao túng để tương tác với các ứng dụng được nhắm mục tiêu và trích xuất dữ liệu cá nhân, lấy cắp thông tin đăng nhập ứng dụng ngân hàng, chặn tin nhắn SMS và thực hiện nhiều hành động khác nhau của người dùng.
Khi các quyền này được cấp cho phần mềm độc hại, phần mềm độc hại sẽ có được khả năng hiển thị đầy đủ các hoạt động của người dùng, cho phép nó truy cập vào số dư tài khoản ngân hàng, lấy mã Xác thực hai yếu tố (2FA), ghi lại các lần nhấn phím và tạo điều kiện truy cập từ xa vào thiết bị.
Chuỗi tấn công của Trojan ngân hàng GoldDigger
Các chuỗi tấn công chịu trách nhiệm phân phối GoldDigger sử dụng các trang web lừa đảo bắt chước các trang Cửa hàng Google Play và các trang web giả mạo của công ty tại Việt Nam. Điều này cho thấy rằng những liên kết này có thể được phổ biến đến các nạn nhân tiềm năng thông qua các kỹ thuật lừa đảo truyền thống hoặc lừa đảo.
Tuy nhiên, sự thành công của chiến dịch này phụ thuộc vào một yếu tố quan trọng: việc kích hoạt tùy chọn 'Cài đặt từ Nguồn không xác định'. Quyền truy đòi này cho phép cài đặt ứng dụng từ các nguồn bên ngoài cửa hàng ứng dụng chính thức. Đáng chú ý, một trong những tính năng nổi bật của GoldDigger là việc sử dụng cơ chế bảo vệ tiên tiến.
GoldDigger là một trong số các Trojan ngân hàng Android đã xuất hiện trong một khoảng thời gian ngắn chỉ vài tháng. Những bổ sung gần đây này góp phần thêm vào bộ sưu tập đáng kể các công cụ không an toàn tương tự đang được lưu hành.
Nhiễm Trojan ngân hàng có thể gây ra hậu quả nghiêm trọng
Việc lây nhiễm Trojan ngân hàng có thể gây ra hậu quả nghiêm trọng cho các cá nhân, tổ chức tài chính và thậm chí cả nền kinh tế rộng hơn do tính chất độc hại và tác hại tiềm tàng mà chúng có thể gây ra. Dưới đây là một số lý do tại sao những bệnh nhiễm trùng này lại đáng lo ngại:
-
- Tổn thất tài chính : Mục tiêu chính của Trojan ngân hàng là thu tiền. Sau khi được cài đặt trên thiết bị của nạn nhân, những Trojan này có thể có quyền truy cập vào tài khoản tài chính và ngân hàng trực tuyến của nạn nhân. Họ có thể thu thập thông tin đăng nhập, số tài khoản và thông tin nhạy cảm khác, những thông tin này có thể được sử dụng để bòn rút tiền từ tài khoản của nạn nhân. Điều này có thể gây ra tổn thất tài chính đáng kể cho các cá nhân và doanh nghiệp.
-
- Trộm danh tính : Trojan ngân hàng thường thu thập thông tin cá nhân và tài chính. Dữ liệu được thu thập có thể được sử dụng để đánh cắp danh tính. Tội phạm mạng có thể sử dụng thông tin thu thập được này để mở tài khoản lừa đảo, đăng ký tín dụng dưới tên nạn nhân hoặc tham gia vào các hoạt động bất hợp pháp khác, gây thiệt hại lâu dài cho tín dụng và sự ổn định tài chính của nạn nhân.
-
- Vi phạm dữ liệu : Trojan ngân hàng cũng có thể xâm phạm dữ liệu nhạy cảm của công ty và khách hàng khi chúng nhắm mục tiêu vào các tổ chức tài chính. Điều này có thể dẫn đến vi phạm dữ liệu, có thể gây hậu quả nghiêm trọng cho doanh nghiệp, bao gồm thiệt hại về danh tiếng, tiền phạt theo quy định và trách nhiệm pháp lý.
-
- Gián đoạn hoạt động : Nếu một tổ chức tài chính bị nhắm mục tiêu và lây nhiễm bởi một Trojan ngân hàng, nó có thể làm gián đoạn hoạt động của tổ chức đó. Điều này bao gồm các giao dịch tài chính, dịch vụ khách hàng và tính liên tục trong kinh doanh tổng thể. Sự gián đoạn như vậy có thể gây ra hậu quả sâu rộng và làm xói mòn lòng tin của khách hàng.
-
- Mất niềm tin của khách hàng : Khi dữ liệu tài chính của khách hàng bị giả mạo, nó có thể làm xói mòn niềm tin vào tổ chức tài chính bị ảnh hưởng. Khách hàng có thể lựa chọn chuyển đổi ngân hàng hoặc nhà cung cấp dịch vụ tài chính, khiến tổ chức tài chính mất khách hàng và doanh thu.
Tóm lại, việc lây nhiễm Trojan ngân hàng gây ra mối đe dọa nghiêm trọng do có khả năng gây tổn thất tài chính, đánh cắp danh tính, vi phạm dữ liệu, gián đoạn hoạt động, hậu quả pháp lý và gây tổn hại đến niềm tin của khách hàng. Ngăn chặn và giảm thiểu những mối đe dọa này đòi hỏi các biện pháp an ninh mạng mạnh mẽ, cảnh giác thường xuyên và sự hợp tác giữa các cá nhân, doanh nghiệp và cơ quan thực thi pháp luật.
