Mã độc này chuyên hoạt động trên hệ điều hành Android, được Group-IB phát hiện lần đầu vào tháng 6/2023 và đặt tên là GoldDigger. Đội ngũ của Group-IB phát hiện trong gói ứng dụng Android, GolDigger đang nhắm mục tiêu đến người dùng của hơn 50 ứng dụng ngân hàng cũng như các ví điện tử tại Việt Nam.
Theo mô tả của Group-IB, người dùng có thể nhận được e-mail lừa đảo, trong đó có các liên kết đến trang Google Play giả mạo hoặc website lừa đảo mạo danh một thương hiệu khác. Để khiến giao diện thuyết phục hơn, một số trang web giả mạo được xây dựng kèm theo đánh giá từ người dùng và biểu tượng của Việt Nam.
Sau khi cài đặt, GoldDigger yêu cầu cấp quyền truy cập vào dịch vụ trợ năng của Android, cho phép nó giám sát và thao tác các chức năng của thiết bị. Khi nhận được sự cho phép, loại virus có thể đánh cắp các thông tin nhạy cảm bao gồm mật khẩu ứng dụng ngân hàng, cũng như chặn tin nhắn SMS và chuyển chúng đến máy chủ có khả năng ra lệnh và kiểm soát.
Việc cấp quyền cho phần mềm độc hại sẽ giúp nó theo dõi đầy đủ hoạt động của người dùng và xem số dư tài khoản ngân hàng, lấy mã xác thực hai yếu tố (2FA) và ghi lại các lần nhấn phím, tạo điều kiện truy cập từ xa vào thiết bị.
Các chuyên gia bảo mật của Group-IB cho biết, GoldDigger sử dụng cơ chế bảo vệ đặc biệt tiên tiến bằng giải pháp phần mềm Virbox Protector, gây nhiều khó khăn hơn cho các nhà nghiên cứu bảo mật trong việc phân tích để tìm kiếm phần mềm độc hại.
Đến thời điểm hiện tại quy mô lây nhiễm của GoldDigger vẫn chưa được xác định, nhưng các chuyên gia phát hiện mã độc này đã mạo danh các ứng dụng của Chính phủ Việt Nam và một công ty năng lượng.
 |
Loại virus mới có tên GoldDigger giả mạo các ứng dụng Chính phủ Việt Nam. Ảnh: Theo Group-IB. |
Ông Lê Đức Anh, Giám đốc phát triển kinh doanh của Group-IB tại Việt Nam nêu rõ: "Hiện tại, GoldDigger chủ yếu tập trung vào các mục tiêu tại Việt Nam. Tuy nhiên, đội ngũ Threat Intelligence của Group-IB đã phát hiện ra rằng mã độc này có các bản dịch sang tiếng Tây Ban Nha và tiếng Trung. Do đó, tội phạm mạng nhiều khả năng có kế hoạch mở rộng phạm vi tiếp cận của GoldDigger hơn nữa tới các quốc gia như Tây Ban Nha và Trung Quốc trong thời gian tới".
Để giảm thiểu nguy cơ tải về mã độc như GoldDigger, các chuyên gia bảo mật của Group-IB khuyến nghị người dùng đảm bảo thiết bị di động luôn được cập nhật, tránh tải xuống ứng dụng từ các nguồn bên ngoài cửa hàng Google Play và kiểm tra những quyền mà ứng dụng yêu cầu sau khi tải xuống.
