Il trojan bancario GoldDigger prende di mira le vittime in Asia
Un trojan bancario Android scoperto di recente, denominato GoldDigger, è stato identificato come bersaglio di varie applicazioni finanziarie. Il suo obiettivo principale è rubare fondi alle vittime e stabilire un accesso non autorizzato ai dispositivi infetti.
Secondo Group-IB, il malware prende di mira specificamente più di 50 applicazioni bancarie, portafogli elettronici e portafogli di criptovaluta in Vietnam. Si teme che questa minaccia possa espandere le sue operazioni in altre parti della regione Asia-Pacifico (APAC) e nei paesi di lingua spagnola.
Il malware è stato inizialmente rilevato da un’azienda con sede a Singapore nell’agosto 2023, anche se le prove suggeriscono che sia attivo da giugno 2023.
GoldDigger abusa dei servizi di accessibilità per infiltrarsi
Sebbene l’entità esatta delle infezioni non sia nota, sono state scoperte app dannose mascherate da portale governativo vietnamita e da una società energetica. Chiedono autorizzazioni intrusive con il pretesto di raccolta dati, sfruttando principalmente i servizi di accessibilità di Android. Questi servizi, progettati per assistere gli utenti con disabilità, vengono utilizzati da GoldDigger per interagire con le app target, estrarre informazioni personali, rubare credenziali di app bancarie, intercettare messaggi SMS ed eseguire varie azioni dell'utente.
La concessione delle autorizzazioni al malware garantisce inoltre l'accesso completo alle attività degli utenti, consentendogli di monitorare i saldi dei conti bancari, acquisire codici di autenticazione a due fattori (2FA), registrare le sequenze di tasti e consentire l'accesso remoto al dispositivo infetto.
Le catene di attacco che distribuiscono GoldDigger coinvolgono siti Web falsi che impersonano le pagine di Google Play Store e siti Web aziendali contraffatti in Vietnam. Ciò suggerisce che questi collegamenti potrebbero essere diffusi alle vittime attraverso le tecniche di smishing o di phishing tradizionali.
Tuttavia, il successo della campagna dipende dall'attivazione da parte degli utenti dell'opzione "Installa da fonti sconosciute", che consente l'installazione di app da fonti esterne all'app store ufficiale.
GoldDigger è uno dei numerosi trojan bancari Android emersi negli ultimi mesi, che si aggiungono al numero già consistente di strumenti dannosi simili che circolano in circolazione.