Theo thông tin cảnh báo, trojan, được đơn vị Threat Intelligence của Group-IB đặt tên là GoldPickaxe.iOS, được cho là do một tin tặc nói tiếng Trung Quốc có tên mã là GoldFactory phát triển.
Theo báo cáo chi tiết của Group-IB, GoldFactory đã phát triển một họ trojan cực kỳ tinh vi nhắm mục tiêu vào các ứng dụng ngân hàng cực kỳ tinh vi, bao gồm GoldDigger được phát hiện trước đó và GoldDiggerPlus, GoldKefu và GoldPickaxe mới trên Android.
Điều khiến GoldPickaxe trở thành một trojan nguy hiểm hơn chính là khả năng khai thác dữ liệu sinh trắc học bị đánh cắp. Từ dữ liệu này, tin tặc sử dụng công cụ AI để tạo ra deepfake bằng cách thay thế khuôn mặt của chúng bằng khuôn mặt của nạn nhân nhằm để truy cập trái phép vào tài khoản ngân hàng của nạn nhân hoặc dữ liệu khác được bảo vệ bằng nhận dạng khuôn mặt hoạt động như 2FA. Khi nạn nhân phát hiện mọi chuyện thì có thể đã quá muộn.
Các nhà nghiên cứu của Group-IB đã phát hiện ra rằng trojan GoldPickaxe.iOS hiện chủ yếu nhắm mục tiêu vào người dùng khu vực châu Á - Thái Bình Dương, cụ thể là Thái Lan và Việt Nam, mạo danh các ngân hàng địa phương và các tổ chức chính phủ.
Song nguy cơ tấn công người dùng tại các khu vực khác trên thế giới vẫn hiện hữu. Group-IB cho biết trojan này đang trong quá trình "hoàn thiện và phát triển" và đây có thể là trojan đầu tiên nhắm mục tiêu vào các thiết bị iOS.
Trước đó, vào tháng 10/2023, đại diện Group-IB tại Việt Nam cũng đưa ra cảnh báo về sự xuất hiện của trojan ngân hàng GoldDigger tấn công các thiết bị Android nhằm rút tiền và tạo cửa hậu trên các thiết bị nhiễm mã độc. Theo đó, mã độ này được phát hiện lần đầu tiên vào tháng 8/2023 mặc dù có bằng chứng cho thấy nó đã hoạt động từ tháng 6/2023.
Nó được cài ẩn trong ứng dụng giả mạo, lợi dụng tính năng Accessibility Service trên Android để trích xuất, đánh cắp thông tin đăng nhập ứng dụng ngân hàng, truy xuất tin nhắn SMS và thực hiện các hoạt động nguy hiểm trên thiết bị người dùng.
Group-IB cho biết, mặc dù hiện tại GoldDigger chủ yếu tập trung vào các mục tiêu ở Việt Nam, tuy nhiên có những dấu hiệu cho thấy mối đe dọa này có thể mở rộng phạm vi ra khắp khu vực châu Á - Thái Bình Dương và tới cả các quốc gia nói tiếng Tây Ban Nha.
Trong vòng chưa đầy 1 tháng, nhóm Threat Intelligence của Group-IB đã phát hiện ra một biến thể mã độc iOS mới bắt đầu nhắm mục tiêu vào các người dùng Thái Lan và đặt tên là GoldPickaxe.iOS. Cùng với Trojan iOS, Group-IB cũng phát hiện một phiên bản Android của GoldPickaxe và gọi tên là GoldPickaxe.Android.
Đầu tháng 2/2024, một người dùng Việt Nam cũng đã trở thành nạn nhân của loại trojan độc hại này, theo đó, nạn nhân đã thực hiện các hoạt động mà ứng dụng yêu cầu, bao gồm cả quét nhận dạng khuôn mặt. Kết quả, tin tặc đã rút số tiền tương đương hơn 40.000 USD.
Tại Thái Lan, GoldPickaxe.iOS đã giả mạo một ứng dụng dịch vụ của chính phủ Thái Lan, nó yêu cầu người dùng tạo hồ sơ sinh trắc học khuôn mặt và chụp ảnh căn cước công dân của họ. Ngoài ra, trojan còn yêu cầu số điện thoại của người dùng nhằm tìm thêm thông tin chi tiết về nạn nhân, đặc biệt là thông tin về tài khoản ngân hàng.
Các nhà nghiên cứu của Group-IB cũng cho biết thêm rằng, điều đặc biệt ở mã độc này chính là thay vì khai thác lỗ hổng, tin tắc lại sử dụng kỹ thuật tấn công phi xã hội nhiều giai đoạn để thao túng nạn nhân cấp tất cả các quyền cần thiết, cho phép cài đặt các phần mềm độc hại khác.
Ban đầu, trojan này được phát tán thông qua TestFlight của Apple - nền tảng cho phép nhà phát triển tung ra phiên bản thử nghiệm của ứng dụng mà không cần thông qua quy trình kiểm duyệt của App Store. Tuy nhiên, sau khi bị Apple gỡ bỏ khỏi TestFlight, tin tặc đã chuyển sang phương thức tinh vi hơn, sử dụng cấu hình quản lý thiết bị di động (MDM) thường được dùng để quản lý thiết bị doanh nghiệp.
Cấu hình MDM cho phép các công ty tùy chỉnh và kiểm soát nhiều khía cạnh của hệ thống theo nhu cầu. Tuy nhiên, tin tặc lợi dụng điều này để thuyết phục người dùng cài đặt cấu hình độc hại nhằm tải xuống ứng dụng bên ngoài App Store. MDM cung cấp nhiều tính năng như xóa dữ liệu từ xa, theo dõi thiết bị và quản lý ứng dụng, tin tặc đã khai thác để cài đặt những ứng dụng độc hại và đánh cắp thông tin chúng cần.
GoldPickaxe.iOS là trojan iOS đầu tiên được Group-IB phát hiện, có các khả năng như được đề cập ở trên, đồng thời hoạt động như một proxy cho lưu lượng truy cập đối với các kết nối của kẻ tấn công. Phiên bản Android của nó thậm chí còn có nhiều chức năng hơn so với phiên bản iOS do hệ điều hành iOS hạn chế hơn.
GoldPickaxe không trực tiếp lấy cắp tiền từ điện thoại của nạn nhân. Thay vào đó, nó thu thập tất cả thông tin cần thiết từ nạn nhân để tạo video deepfake và tự động truy cập vào ứng dụng ngân hàng của nạn nhân. Trong quá trình nghiên cứu, Group-IB phát hiện rằng trojan sở hữu khả năng nhắc nạn nhân quét khuôn mặt của họ và gửi ảnh ID.
Giả thuyết của Group-IB cho thấy tội phạm mạng sử dụng thiết bị Android của riêng chúng để đăng nhập vào tài khoản ngân hàng của nạn nhân. Cảnh sát Thái Lan đã xác nhận giả định này, cho biết tội phạm mạng đang cài đặt các ứng dụng ngân hàng trên thiết bị Android của chúng và sử dụng dữ liệu quét khuôn mặt để vượt qua quá trình kiểm tra nhận dạng khuôn mặt, sau đó thực hiện truy cập trái phép vào tài khoản của nạn nhân.
Để phòng tránh nguy cơ bị trojan tấn công, các chuyên gia khuyến cáo các ngân hàng và tổ chức tài chính nên triển khai hệ thống giám sát phiên người dùng như giải pháp chống gian lận của Group-IB để phát hiện sự hiện diện của phần mềm độc hại và chặn các phiên bất thường trước khi người dùng nhập bất kỳ thông tin cá nhân nào.
Đối với người dùng thiết bị di động thì nên sử dụng các phần mềm chống virus uy tín để ngăn chặn và loại bỏ trojan di động. Đồng thời cần tránh nhấp vào các liên kết hoặc tệp đính kèm đáng ngờ, thường xuyên cập nhật thiết bị và ứng dụng, chỉ tải xuống ứng dụng từ các nguồn đáng tin cậy. Nếu có bất kỳ dấu hiệu lây nhiễm nào, chẳng hạn như quảng cáo tự bật lên, hao pin hoặc sạc bất thường, người dùng nên quét thiết bị của mình bằng công cụ loại bỏ phần mềm độc hại và xóa mọi tệp hoặc ứng dụng đáng ngờ.
TH