Phần mềm độc hại GoldPickaxe nhắm mục tiêu vào người dùng iPhone tại Việt Nam và Thái Lan, thu thập thông tin đăng nhập bao gồm cả khuôn mặt để vượt qua các lớp bảo mật sinh trắc học.
GoldPickaxe được coi là một trong những mã độc đầu tiên được khai thác thành công trên nền tảng iOS. Phần mềm độc hại này có cùng nguồn gốc với phần mềm độc hại GoldDigger thuộc nhóm GoldFactory được hãng bảo mật Group-IB phát hiện vào giữa năm ngoái.
Trong cảnh báo lừa đảo trực tuyến do Cục An toàn thông tin Bộ Thông tin và Truyền thông ban hành hồi tháng 2, có trường hợp người dùng ở Hà Nội bị lừa cài đặt phần mềm dịch vụ công giả mạo. Phần mềm yêu cầu cảnh quay thật và ngày hôm sau, tài khoản chứng khoán của người này đã bị bán và hàng tỷ đồng được chuyển đi.
Group-IB cho rằng đây có thể là dấu hiệu cho thấy GoldPickaxe đang tấn công người dùng Việt Nam. Group-IB đánh giá: “Dựa trên các yêu cầu cụ thể về quét khuôn mặt và thực tế là GoldFactory hoạt động trong khu vực, chúng tôi nghi ngờ họ có thể đã bắt đầu khai thác GoldPickaxe tại Việt Nam”.
Tại Hội nghị Ngân hàng Tài chính Châu Á tổ chức tại TP.FPT8.comM vào giữa tháng 3, sự xuất hiện của GoldPickaxe cũng khiến nhiều tổ chức lo lắng. Ông Troy Le, đại diện nhà phát triển công cụ BShield hỗ trợ bảo mật nhiều ứng dụng lớn tại Việt Nam, cho biết mã độc này rất nguy hiểm vì đã khai thác thành công trên iOS và Android và thu thập dữ liệu trong đó có sinh trắc học người dùng. dữ liệu. Với việc Thái Lan đã triển khai xác thực sinh trắc học, bao gồm nhận dạng khuôn mặt, cho các giao dịch có giá trị lớn và Việt Nam sắp áp dụng phương pháp này, GoldPickaxe đã trở thành một thách thức mới trong việc bảo vệ tài khoản cho cả người dùng và nền tảng.
GoldPickaxe hack vào tài khoản như thế nào?
Đầu tiên, kẻ tấn công sẽ cố gắng sử dụng các kỹ năng xã hội để tiêm một ứng dụng chứa mã độc vào thiết bị của nạn nhân. Trong trường hợp các nạn nhân ở Hà Nội nêu trên, chúng giả danh cơ quan công quyền, dụ dỗ người dùng cài đặt phần mềm dịch vụ công giả mạo. Tại Thái Lan, một tình huống phổ biến được ghi nhận là phần mềm hỗ trợ hoàn thuế, thanh toán tiền điện.
Đối với Android, người dùng chỉ cần cài đặt ứng dụng thông qua file apk. Khi sử dụng iOS, những kẻ lừa đảo sẽ khai thác nền tảng thử nghiệm ứng dụng TestFlight của Apple hoặc thuyết phục nạn nhân cài đặt cấu hình quản lý thiết bị di động (MDM) để giành toàn quyền kiểm soát thiết bị.
Khi thiết bị bị xâm phạm, GoldPickaxe sẽ kích hoạt các quyền như chặn lọc tin nhắn văn bản và truy cập internet. Trong khi đó, ứng dụng giả mạo yêu cầu người dùng xác minh danh tính bằng tài liệu cá nhân và quay video. Đoạn video được truyền đến máy chủ của hacker và trở thành tài liệu để tạo ra các tác phẩm deepfake và hoán đổi khuôn mặt bằng trí tuệ nhân tạo.
Theo chuyên gia Troy Le, mã độc sẽ âm thầm thu thập thông tin cá nhân của người dùng trên thiết bị và bí mật ghi lại dữ liệu hoạt động, thông tin người dùng nhập vào, từ đó tạo ra một bản ghi nhật ký (log record). Ngoài ra, chúng còn thu thập dữ liệu khuôn mặt và có thể cả địa chỉ IP của nạn nhân để mạo danh, đánh lừa các dịch vụ nghĩ rằng họ là người dùng thực sự.
“Với dữ liệu này, kẻ tấn công sẽ không cần thực hiện các giao dịch trái phép trực tiếp từ điện thoại của nạn nhân. Thay vào đó, chúng sẽ thu thập tất cả thông tin cần thiết để truy cập ứng dụng ngân hàng từ một thiết bị khác”, ông Troy Le giải thích.
Làm thế nào để tránh xa GoldPickaxe?
Cục An toàn thông tin đã liên tục đưa ra cảnh báo, khuyến cáo người dùng không cung cấp thông tin cá nhân hay cài đặt ứng dụng không rõ nguồn gốc để tránh bị đánh cắp tài khoản. Nhưng trên thực tế, kịch bản và phương thức tấn công thường xuyên thay đổi khiến nhiều người trở thành nạn nhân dù đã cảnh giác.
Ở góc độ các nhà phát triển nền tảng bảo mật, ông Troy Le cho rằng các ngân hàng, tổ chức tài chính cũng cần chủ động thiết lập các cơ chế phòng ngừa rủi ro cho người dùng.
Sau khi triển khai BShield cho nhiều ứng dụng tài chính ngân hàng tại Việt Nam, ông Troy Le cho biết, nhiều nền tảng, dịch vụ vẫn còn tồn tại những điểm yếu như chưa có cơ chế phát hiện thiết bị không an toàn để có kế hoạch phòng ngừa kịp thời, ứng dụng hoạt động không có cơ chế kiểm tra liên tục. Điều này giúp hacker chiếm quyền kiểm soát tài khoản của nạn nhân chỉ bằng cách vượt qua bước kiểm tra ban đầu của ứng dụng. Ngoài ra, một số ứng dụng có thể khai thác lỗ hổng API, từ đó mã độc có thể can thiệp và thay đổi cách thức hoạt động của ứng dụng, đồng thời hacker có thể tiến hành các cuộc tấn công man-in-the-middle.
“Các ứng dụng tài chính, ngân hàng luôn là mục tiêu hàng đầu của tin tặc. Vì vậy, bản thân chúng cần thiết lập cơ chế bảo vệ cho người dùng và dịch vụ của chính mình”, chuyên gia nói.
Theo Group-IB, phần mềm độc hại của nhóm GoldFactory còn có một số tính năng khiến người dùng dễ bị lừa như gửi cảnh báo ứng dụng ngân hàng giả, màn hình cuộc gọi giả và tin nhắn văn bản để dụ nạn nhân thực hiện một số hành động nhất định. Người dùng cần cảnh giác nếu thấy các dấu hiệu lạ như máy hao pin, nóng lên bất thường, hiển thị thông báo lạ, sử dụng nhiều dữ liệu hay ứng dụng yêu cầu quá nhiều quyền.
Lữ Quế
- FPT Telecom làm việc cả ngày lễ, thứ 7 và chủ nhật, quý khách có nhu cầu đăng ký hoặc tham khảo các gói cước hay liên hệ thông tin đăng ký dịch vụ quý khách hàng vui lòng liên hệ qua web hoặc các thông tin bên dưới để nhân viên hỗ trợ 24/7.
- FPT Telecom – Công Ty Cổ Phần Viễn Thông FPT
- Mobile : 098.1489.411
- Website: https://fpt8.com
Cảm ơn quý khách đã tin tưởng và sử dụng dịch vụ mà FPT Telecom cung cấp, chúng tôi sẽ luôn cập nhật các chương trình ưu đãi khuyến mãi lắp mạng FPT tại Website: https://fpt8.com