Ερευνητές ασφαλείας ανακάλυψαν ένα νέο Android trojan με το όνομα GoldDigger, το οποίο σχεδιάστηκε για να συλλέγει κρυφά πληροφορίες χρήστη, συμπεριλαμβανομένων των credentials τραπεζικών εφαρμογών, με σκοπό το άδειασμα των λογαριασμών των θυμάτων.
Το trojan ονομάστηκε “GoldDigger” από τη Group-IB και είναι ενεργό τουλάχιστον από τον Ιούνιο του 2023. Αυτή τη στιγμή στοχεύει χρήστες περισσότερων από 50 βιετναμέζικων τραπεζικών εφαρμογών, καθώς και ηλεκτρονικών πορτοφολιών και crypto wallets. Ωστόσο, σύμφωνα με τους ερευνητές, το κακόβουλο λογισμικό διαθέτει μεταφράσεις και σε άλλες γλώσσες, που σημαίνει ότι μπορεί να αρχίσει να στοχεύει και χρήστες στην Ασία, την Ευρώπη και τη Νότια Αμερική.
Δείτε επίσης: Zanubis: Το Android banking trojan γίνεται ακόμα πιο επικίνδυνο
“Αυτή τη στιγμή, το GoldDigger εστιάζει κυρίως σε στόχους στο Βιετνάμ. Ωστόσο, η ομάδα Threat Intelligence της Group-IB διαπίστωσε ότι, εκτός από τα βιετναμέζικα, το κακόβουλο λογισμικό περιελάμβανε μεταφράσεις στα ισπανικά και στα κινεζικά“, προειδοποίησε στέλεχος της Group-IB στο Βιετνάμ.
“Οι κυβερνοεγκληματίες ενδέχεται να έχουν σχέδια να επεκτείνουν περαιτέρω την εμβέλεια του GoldDigger σε ισπανόφωνες και κινεζόφωνες χώρες στο εγγύς μέλλον. Συνεχίζουμε την έρευνα για το GoldDigger και θα παρέχουμε ενημερώσεις όταν γίνουν διαθέσιμες“.
Αρχικά, οι χρήστες λαμβάνουν ένα email που περιέχει συνδέσμους προς μια πλαστογραφημένη σελίδα του Google Play ή ένα phishing site που εμφανίζεται σαν κάποια γνωστή νόμιμη εταιρεία.
Δείτε επίσης: BBTok trojan: Στοχεύει πελάτες 40 τραπεζών στη Λατινική Αμερική
Το ίδιο το Trojan εμφανίζεται ως εφαρμογή Android που υποδύεται είτε μια κυβερνητική πύλη του Βιετνάμ είτε μια εταιρεία ενέργειας, σύμφωνα με τη Group-IB.
Μετά την εγκατάστασή του, το GoldDigger ζητά πρόσβαση στην Υπηρεσία Προσβασιμότητας Android, η οποία του επιτρέπει να παρακολουθεί και να χειρίζεται τις λειτουργίες της συσκευής. Με αυτόν τον τρόπο, το trojan είναι σε θέση να κλέψει ευαίσθητες πληροφορίες, συμπεριλαμβανομένων των κωδικών πρόσβασης για τραπεζικές εφαρμογές. Επίσης, μπορεί να εισχωρήσει σε μηνύματα SMS και να τα μεταφέρει σε έναν command-and-control server.
Επιπλέον, οι ερευνητές της Group-IB είπαν ότι οι δημιουργοί του κακόβουλου λογισμικού χρησιμοποιούν το νόμιμο εργαλείο obfuscation, Virbox Protector, για να καθιστούν πιο δύσκολο το reverse engineering του trojan.
Δείτε επίσης: Hook: Το νέο Android banking trojan βασίζεται στο ERMAC
Η Group-IB προέτρεψε τους χρήστες να προσέχουν την κινητή συσκευή τους για να είναι σίγουροι ότι είναι ασφαλής. Η προστασία της κινητής συσκευής είναι απαραίτητη, ειδικά όταν μιλάμε για κακόβουλο λογισμικό όπως το GoldDigger. Στον σημερινό ψηφιακό κόσμο, πρέπει να λαμβάνουμε ορισμένα μέτρα. Πρώτον, ενημερώνουμε τακτικά το λειτουργικό σύστημα και τις εφαρμογές μας, ιδίως τις τραπεζικές εφαρμογές, για να περιορίσουμε τις ευπάθειες που μπορεί να εκμεταλλευθούν οι επιτιθέμενοι. Δεύτερον, αποφεύγουμε τη λήψη εφαρμογών από πηγές εκτός του Google Play Store. Τρίτον, ελέγχουμε προσεκτικά τις άδειες που ζητούνται από κάθε νέα εφαρμογή που εγκαθιστούμε.
Πηγή: www.infosecurity-magazine.com