Group-IB, một trong những tổ chức hàng đầu về bảo mật trong điều tra, ngăn chặn và đối phó với tội phạm mạng, đã “phát hiện” ra một mẫu mã độc Android Trojan mới, trực tiếp nhắm tới người dùng của hơn 50 ứng dụng ngân hàng, ứng dụng ví điện tử và các ví tiền điện tử tại Việt Nam, với mục tiêu đánh cắp tài sản của họ. Mã độc GoldDigger – tên gọi được đội ngũ Threat Intelligence của Group-IB đặt, đã hoạt động ít nhất từ tháng 6 năm 2023.

Mã độc được ẩn giấu trong ứng dụng giả mạo Cổng thông tin của chính phủ Việt Nam và ứng dụng giả mạo Điện lực và lợi dụng Accessibility Service trên Android để trích xuất thông tin cá nhân, đánh cắp thông tin đăng nhập ứng dụng ngân hàng, đọc trộm tin nhắn SMS và thực hiện các hoạt động nguy hiểm trên thiết bị người dùng. Số lượng thiết bịnhiễm mã độc và số tiền bị đánh cắp hiện tại vẫn chưa thể xác định.

“Khách hàng sử dụng giải pháp Threat Intelligence của Group-IB đã được thông báo ngay lập tức sau khi chúng tôi phát hiện mối đe dọa này. Đội ngũ Computer Emergency Response Team (CERT-GIB) của Group-IB đã chủ động gửi một thông báo đến Governmental National CERT of Vietnam (VNCERT) để đảm bảo cảnh báo hiệu quả.”

Mã độc này đã được Group-IB phát hiện lần đầu vào tháng 6 năm 2023. Đội ngũ Threat Intelligence của công ty đã xác định hơn mười trang web giả mạo giao diện Google Play Store và các trang web của công ty. Để khiến giao diện thuyết phục hơn, một số trang web giả mạo được xây dựng kèm theo đánh giá từ người dùng và biểu tượng của Việt Nam.

222176-golddigger-hon-50-ngan-hang-viet-nam
Trang web giả mạo lây lan mã độc GoldDigger

Các trang web này được thiết kế để đánh lừa người dùng tải xuống mã độc GoldDigger, được đặt tên theo một Activity ‘GoldActivity’ được tìm thấy trong tệp APK. Group-IB không thể xác định nguồn tấn công ban đầu, nhưng khả năng cao là kẻ lừa đảo đã gửi các liên kết trang web này thông qua các ứng dụng nhắn tin hoặc các phương thức lừa đảo truyền thống. Group-IB đã phát hiện hai biến thể khác nhau của GoldDigger – một biến thể giả mạo Cổng thông tin của chính phủ Việt Nam và một biến thể khác giả mạo ứng dụng Điện lực.

Sau khi được cài đặt và khởi chạy, GoldDigger yêu cầu truy cập vào Accessibility Service, một tính năng trên Android được thiết kế để hỗ trợ người dùng khuyết tật bằng cách cho phép các ứng dụng tương tác với nhau và sửa đổi giao diện người dùng. Bằng cách lợi dụng tính năng này, phần mềm độc hại có thể theo dõi và can thiệp vào các chức năng của thiết bị.

Khi cấp quyền truy cập vào Accessibility Service cập cho mã độc, người dùng đã vô tình khởi chạy GoldDigger để trích xuất thông tin nhạy cảm như mật khẩu, nội dung tin nhắn SMS, mô phỏng tương tác của người dùng và đánh cắp thông tin đăng nhập.

Mã độc cũng theo dõi các sự kiện liên quan đến 51 ứng dụng mục tiêu của các tổ chức tài chính Việt Nam, cũng như các ứng dụng ví điện tử và ví tiền điện tử. Sau khi thu thập thông tin người dùng (như tên đăng nhập và mật khẩu), GoldDigger tiến hành trích xuất và gửi những dữ liệu đến các máy chủ điều khiển và kiểm soát từ xa (C&C).

222176-golddigger-hon-50-ngan-hang-viet-nam
Hồ sơ của GoldDigger

Một đặc điểm đáng chú ý của GoldDigger là nó sử dụng Virbox Protector – một phần mềm hợp pháp cung cấp công nghệ che giấu mã nguồn và mã hóa tiên tiến. Nhà phát triển mã độc sử dụng Virbox Protector để làm cho việc phân tích và dịch ngược mã độc trở nên khó khăn hơn và tránh bị phát hiện bởi các giải pháp chống gian lận truyền thống. Tuy nhiên, giải pháp Fraud Protection của Group-IB có thể phát hiện GoldDigger một cách hiệu quả.

Ông Lê Đức Anh, Giám đốc Phát triển Kinh doanh của Group-IB tại Việt Nam đánh giá rằng “Hiện tại, GoldDigger chủ yếu tập trung vào các mục tiêu tại Việt Nam. Tuy nhiên, đội ngũ Threat Intelligence của Group-IB đã phát hiện ra rằng mã độc này có các bản dịch sang tiếng Tây Ban Nha và tiếng Trung.

Những tên tội phạm mạng có thể có kế hoạch mở rộng phạm vi hoạt động của GoldDigger đến các quốc gia nói tiếng Tây Ban Nha và tiếng Trung trong tương lai gần. Chúng tôi tiếp tục điều tra về GoldDigger và sẽ cập nhật khi có thông tin mới.”

Để giảm thiểu nguy cơ tải về mã độc như GoldDigger, Group-IB khuyên người dùng luôn kiểm tra các bản cập nhật trên thiết bị di động của họ, tránh tải xuống ứng dụng từ nguồn bên ngoài Google Play Store chính thức, và kiểm tra quyền ứng dụng yêu cầu sau khi phần mềm đã được tải xuống. Các tổ chức tài chính, ngân hàng muốn bảo vệ người dùng của họ khỏi các cuộc tấn công phần mềm độc hại có thể sử dụng giải pháp Fraud Protection của Group-IB.

Giải pháp có khả năng giám sát phiên sử dụng dịch vụ của người dùng bằng cách sử dụng các thuật toán học máy để phân tích và xác định hành vi đáng ngờ, các kỹ thuật gian lận mới nhất, các phiên kết nối từ xa trái phép cũng như sự tồn tại của phần mềm độc hại, như GoldDigger.

Góc quảng cáo