Theo đó, các nhà nghiên cứu tại Group-IB đã phát hiện ra một Android mới và đặt tên là “GoldDigger”, chúng nhắm mục tiêu cụ thể đến người dùng của hơn 50 ứng dụng và ví tiền điện tử của Việt Nam, với mục đích đánh cắp thông tin cá nhân của họ.
Trojan này hoạt động trên hệ điều hành Android và được Group-IB phát hiện lần đầu tiên vào tháng 6/2023. Nó được các nhà nghiên cứu đặt tên là GoldDigger do hoạt động "GoldActivity" cụ thể được phát hiện trong tệp APK.
Nhóm thông tin tình báo mối de dọa của Group-IB đã xác định được hơn 10 trang web giả mạo cửa hàng ứng dụng và trang web giả mạo của công ty. GoldDigger mạo danh cổng thông tin của Chính phủ và một công ty năng lượng, lạm dụng dịch vụ trợ năng của Android để trích xuất thông tin cá nhân, đăng nhập ứng dụng ngân hàng, chặn tin nhắn SMS và thực hiện nhiều hành động khác nhau của người dùng. Hiện nay số lượng thiết bị bị nhiễm và số lượng bị đánh cắp vẫn chưa được xác định.
Hình 1. Trang web giả mạo phân phối GoldDigger
Sau khi được cài đặt và khởi chạy, GoldDigger yêu cầu quyền truy cập vào dịch vụ trợ năng của Android bằng cách cho phép các ứng dụng tương tác với nhau và sửa đổi giao diện người dùng. Bằng cách lạm dụng tính năng này, phần mềm độc hại có thể theo dõi và thao túng các chức năng của thiết bị.
Việc cấp quyền cho phần mềm độc hại sẽ giúp nó theo dõi đầy đủ hoạt động của người dùng và xem số dư tài khoản ngân hàng, lấy mã xác thực hai yếu tố (2FA) và ghi lại các lần thao tác bàn phím, tạo điều kiện truy cập từ xa vào thiết bị. GoldDigger sử dụng cơ chế bảo vệ đặc biệt bằng giải pháp phần mềm Virbox Protector, cho phép Trojan trốn tránh và gây nhiều khó khăn hơn cho các nhà nghiên cứu bảo mật trong việc phân tích để tìm kiếm phần mềm độc hại.
Hình 2. Hồ sơ GoldDigger
Các nhà nghiên cứu cho biết: “Hiện tại, GoldDigger chủ yếu tập trung vào các mục tiêu ở Việt Nam. Tuy nhiên, chúng tôi đã phát hiện ra rằng, ngoài tiếng Việt, phần mềm độc hại này đã bắt đầu xuất hiện các phiên bản ngôn ngữ Tây Ban Nha và tiếng Trung Quốc, do đó, tội phạm mạng có thể có kế hoạch mở rộng hơn nữa phạm vi tiếp cận của GoldDigger tới các quốc gia sử dụng 2 ngôn ngữ này trong tương lai gần”.
Group-IB kêu gọi người dùng đảm bảo thiết bị di động của họ được cập nhật, tránh tải xuống ứng dụng từ các nguồn bên ngoài cửa hàng Google Play và kiểm tra những quyền mà ứng dụng yêu cầu sau khi tải xuống. Cảnh giác và thận trọng là chìa khóa để giữ an toàn tài chính của người dùng.
Quốc Trung
(Theo Group-IB)
14:00 | 09/11/2023
16:00 | 17/03/2023
17:00 | 22/12/2023
10:00 | 06/12/2023
14:00 | 07/03/2022
14:00 | 16/01/2024
14:00 | 09/12/2022
07:00 | 08/01/2024
16:00 | 15/03/2024
09:00 | 28/02/2024
Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
Lợi dụng lỗ hổng CVE-2024-27956 (có điểm 9,9) trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài.
10:00 | 13/05/2024