Το GoldDigger Banking Trojan στοχεύει θύματα στην Ασία

Ένα νέο τραπεζικό trojan Android που ανακαλύφθηκε, με το όνομα GoldDigger, έχει αναγνωριστεί ότι στοχεύει διάφορες οικονομικές εφαρμογές. Ο κύριος στόχος του είναι η κλοπή κεφαλαίων από τα θύματα και η δημιουργία μη εξουσιοδοτημένης πρόσβασης σε μολυσμένες συσκευές.

Σύμφωνα με το Group-IB, το κακόβουλο λογισμικό στοχεύει συγκεκριμένα σε περισσότερες από 50 εφαρμογές πορτοφολιών τραπεζών, ηλεκτρονικού πορτοφολιού και κρυπτονομισμάτων στο Βιετνάμ. Υπάρχουν ανησυχίες ότι αυτή η απειλή μπορεί να επεκτείνει τις δραστηριότητές της σε άλλα μέρη της περιοχής Ασίας-Ειρηνικού (APAC) και ισπανόφωνων χωρών.

Το κακόβουλο λογισμικό εντοπίστηκε αρχικά από μια εταιρεία με έδρα τη Σιγκαπούρη τον Αύγουστο του 2023, αν και τα στοιχεία δείχνουν ότι ήταν ενεργό από τον Ιούνιο του 2023.

Το GoldDigger καταχράται τις υπηρεσίες προσβασιμότητας για να διεισδύσει

Ενώ η ακριβής έκταση των μολύνσεων είναι άγνωστη, οι κακόβουλες εφαρμογές ανακαλύφθηκαν μεταμφιεσμένες σε κυβερνητική πύλη του Βιετνάμ και σε εταιρεία ενέργειας. Ζητούν παρεμβατικές άδειες υπό το πρόσχημα της συλλογής δεδομένων, εκμεταλλευόμενοι κατά κύριο λόγο τις υπηρεσίες προσβασιμότητας του Android. Αυτές οι υπηρεσίες, σχεδιασμένες να βοηθούν χρήστες με αναπηρίες, χρησιμοποιούνται από το GoldDigger για αλληλεπίδραση με εφαρμογές-στόχους, εξαγωγή προσωπικών πληροφοριών, κλοπή διαπιστευτηρίων τραπεζικών εφαρμογών, υποκλοπή μηνυμάτων SMS και εκτέλεση διαφόρων ενεργειών χρήστη.

Η παραχώρηση αδειών στο κακόβουλο λογισμικό του παρέχει επίσης πλήρη πρόσβαση στις δραστηριότητες των χρηστών, επιτρέποντάς του να παρακολουθεί τα υπόλοιπα τραπεζικών λογαριασμών, να συλλαμβάνει κωδικούς ελέγχου ταυτότητας δύο παραγόντων (2FA), να καταγράφει πατήματα πλήκτρων και να επιτρέπει την απομακρυσμένη πρόσβαση στη μολυσμένη συσκευή.

Οι αλυσίδες επιθέσεων που διανέμουν το GoldDigger περιλαμβάνουν ψεύτικους ιστότοπους που υποδύονται τις σελίδες του Google Play Store και πλαστούς εταιρικούς ιστότοπους στο Βιετνάμ. Αυτό υποδηλώνει ότι αυτοί οι σύνδεσμοι μπορεί να διαδοθούν στα θύματα μέσω smishing ή παραδοσιακών τεχνικών phishing.

Ωστόσο, η επιτυχία της καμπάνιας βασίζεται στο ότι οι χρήστες ενεργοποιούν την επιλογή "Εγκατάσταση από άγνωστες πηγές", η οποία επιτρέπει την εγκατάσταση εφαρμογών από πηγές εκτός του επίσημου καταστήματος εφαρμογών.

Το GoldDigger είναι ένα από τα πολλά Android banking trojans που έχουν εμφανιστεί τους τελευταίους μήνες, προσθέτοντας στον ήδη σημαντικό αριθμό παρόμοιων κακόβουλων εργαλείων που κυκλοφορούν στη φύση.