O Cavalo de Tróia GoldDigger para Android mira aplicativos bancários em países da Ásia e do Pacífico
5 de Outubro de 2023

Foi descoberto um novo trojan bancário para Android chamado GoldDigger, que tem como alvo várias aplicações financeiras com o objetivo de desviar os fundos das vítimas e criar uma porta de entrada nos dispositivos infectados.

"O malware tem como alvo mais de 50 aplicações bancárias, carteiras digitais e de criptomoedas vietnamitas," disse o Grupo-IB.

"Há indícios de que essa ameaça possa estar a postos para estender seu alcance em toda a região APAC e para países de língua espanhola."

O malware foi detectado pela primeira vez pela empresa sediada em Singapura em agosto de 2023, embora haja indícios de que ele esteja ativo desde junho de 2023.

Embora a extensão exata das infecções atualmente não seja conhecida, descobriu-se que os aplicativos maliciosos se passam por um portal do governo vietnamita e por uma empresa de energia para solicitar permissões intrusivas para cumprir seus objetivos de coleta de dados.

Isso inclui principalmente o abuso dos serviços de acessibilidade do Android, que são destinados a ajudar usuários com deficiência a usar os aplicativos, a fim de interagir com os aplicativos alvo e extrair informações pessoais, roubar credenciais de aplicativos bancários, interceptar mensagens SMS e realizar várias ações do usuário.

A concessão de permissões ao malware também permite que ele ganhe total visibilidade das ações do usuário e visualize os saldos de contas bancárias, capture códigos de autenticação em duas etapas (2FA) e registre teclas, além de facilitar o acesso remoto ao dispositivo.

As cadeias de ataques que distribuem o GoldDigger se aproveitam de sites falsos que se passam por páginas da Google Play Store e por sites corporativos falsificados no Vietnã, o que aumenta a possibilidade de esses links serem propagados às vítimas via smishing ou táticas tradicionais de phishing.

No entanto, o sucesso da campanha depende da ativação da opção "Instalar de fontes desconhecidas" para permitir a instalação de aplicativos arbitrários disponíveis fora da loja oficial.
"Uma das principais características do GoldDigger é seu uso de um mecanismo de proteção avançado," a empresa observou em um relatório compartilhado com o The Hacker News.

"O Virbox Protector, um software legítimo identificado em todas as amostras descobertas do GoldDigger, permite que o Trojan torne tanto a análise estática quanto a dinâmica do malware significativamente mais complicadas e evite a detecção.

Isso apresenta um desafio em acionar atividades maliciosas em ambientes de teste ou emuladores."

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...