Công ty bảo mật Group-IB mới đây công bố phát hiện về mã độc GoldDigger hoạt động từ khoảng tháng 6.2023. TheânhàngGoldDiggernhắmmụctiêutạiViệlịch thi đấu ngoại hạng anho công bố, GoldDigger trực tiếp nhắm tới hơn 50 ứng dụng ngân hàng, ví điện tử tại Việt Nam với mục tiêu đánh cắp tài sản.
Mã độc được cài ẩn trong ứng dụng giả mạo, lợi dụng tính năng Accessibility Service trên Android để trích xuất, đánh cắp thông tin đăng nhập ứng dụng ngân hàng, truy xuất tin nhắn SMS và thực hiện các hoạt động nguy hiểm trên thiết bị người dùng.
Đội ngũ Threat Intelligence của Group-IB đã xác định hơn mười website giả mạo giao diện Google Play Store và các website của công ty. Một số website giả mạo còn kèm theo đánh giá từ người dùng...
Các chuyên gia bảo mật cho biết không thể xác định nguồn tấn công ban đầu, nhưng khả năng cao là kẻ lừa đảo đã gửi các liên kết đến website giả mạo thông qua các ứng dụng nhắn tin hoặc các phương thức lừa đảo truyền thống.
Việc người dùng vô tình cấp quyền cho malware cũng cho phép chương trình này có khả năng xem được đầy đủ hành động trên thiết bị, xem số dư tài khoản ngân hàng, lấy mã xác thực hai yếu tố (2FA) hay ghi lại các lần nhấn phím, cũng như tạo điều kiện cho kẻ tấn công có thể truy cập từ xa.
Tuy nhiên, sự thành công của chiến dịch tấn công này phụ thuộc vào việc người dùng có bật tùy chọn Cài đặt từ nguồn không xác định để cho phép cài đặt các ứng dụng tùy ý bên ngoài Google Play Store hay không.
Ông Lê Đức Anh, Giám đốc Phát triển Kinh doanh của Group-IB tại Việt Nam nhận định hiện GoldDigger chủ yếu tập trung vào các mục tiêu tại Việt Nam. Nhưng các chuyên gia cũng phát hiện mã độc này có các bản dịch sang tiếng Tây Ban Nha và tiếng Trung, vì thế có thể trong tương lai gần những tội phạm mạng này có thể mở rộng phạm vi hoạt động đến các quốc gia trên.
T.N (quận 3, TP.HCM) cho biết vào giữa tháng 9 anh nhận được cuộc gọi Zalo từ một người tự xưng bên chi cục thuế quận. Bên cạnh yêu cầu sáng mai có mặt tại chi cục thuế, người này còn cung cấp cho anh một địa chỉ website có địa chỉ tên miền đuôi là .cc. Thấy nghi ngờ nên anh đã thử dùng một chiếc điện thoại Android không chứa các thông tin nhạy cảm để cài đặt ứng dụng do người ở đầu dây bên kia cung cấp.
Anh cho biết: "Khi đã thực hiện theo hướng dẫn của người tự xưng bên chi cục thuế, chiếc điện thoại Android của tôi gần như không nhận các thao tác thông thường như vào mục ứng dụng, vào phần cài đặt để xem thông tin. Tôi đoán chắc là máy đã bị dính mã độc nên thực hiện khôi phục điện thoại về cài đặt khi xuất xưởng (factory reset)".