Trojan bankowy GoldDigger atakuje ofiary w Azji
Zidentyfikowano nowo odkrytego trojana bankowego dla systemu Android o nazwie GoldDigger, którego celem są różne aplikacje finansowe. Jego głównym celem jest kradzież środków ofiarom i uzyskanie nieautoryzowanego dostępu do zainfekowanych urządzeń.
Według Group-IB złośliwe oprogramowanie atakuje w szczególności ponad 50 aplikacji bankowych, e-portfeli i portfeli kryptowalut w Wietnamie. Istnieją obawy, że zagrożenie to może rozszerzyć swoją działalność na inne części regionu Azji i Pacyfiku (APAC) oraz kraje hiszpańskojęzyczne.
Szkodnik został po raz pierwszy wykryty przez firmę z siedzibą w Singapurze w sierpniu 2023 r., choć dowody sugerują, że było ono aktywne od czerwca 2023 r.
GoldDigger wykorzystuje usługi ułatwień dostępu do infiltracji
Chociaż dokładny zasięg infekcji nie jest znany, odkryto, że szkodliwe aplikacje udają portal rządu wietnamskiego i firmę energetyczną. Żądają natrętnych uprawnień pod przykrywką gromadzenia danych, wykorzystując przede wszystkim usługi ułatwień dostępu Androida. Usługi te, zaprojektowane z myślą o użytkownikach niepełnosprawnych, są wykorzystywane przez GoldDigger do interakcji z aplikacjami docelowymi, wydobywania danych osobowych, kradzieży danych uwierzytelniających aplikacji bankowych, przechwytywania wiadomości SMS i wykonywania różnych działań użytkownika.
Nadanie uprawnień złośliwemu oprogramowaniu zapewnia mu również pełny dostęp do działań użytkownika, umożliwiając monitorowanie sald kont bankowych, przechwytywanie kodów uwierzytelniania dwuskładnikowego (2FA), rejestrowanie naciśnięć klawiszy i umożliwianie zdalnego dostępu do zainfekowanego urządzenia.
Łańcuchy ataków dystrybuujące GoldDigger obejmują fałszywe witryny podszywające się pod strony Sklepu Google Play oraz fałszywe witryny korporacyjne w Wietnamie. Sugeruje to, że linki te mogą być rozprzestrzeniane wśród ofiar za pomocą smishingu lub tradycyjnych technik phishingu.
Jednak powodzenie kampanii zależy od włączenia przez użytkowników opcji „Instaluj z nieznanych źródeł”, która umożliwia instalowanie aplikacji ze źródeł spoza oficjalnego sklepu z aplikacjami.
GoldDigger to jeden z kilku trojanów bankowych dla systemu Android, które pojawiły się w ostatnich miesiącach, uzupełniając i tak już znaczną liczbę podobnych szkodliwych narzędzi krążących w środowisku naturalnym.
