Foi descoberto um novo trojan bancário para Android chamado GoldDigger, que tem como alvo várias aplicações financeiras com o objetivo de desviar os fundos das vítimas e criar uma porta de entrada nos dispositivos infectados.
"O malware tem como alvo mais de 50 aplicações bancárias, carteiras digitais e de criptomoedas vietnamitas," disse o Grupo-IB.
"Há indícios de que essa ameaça possa estar a postos para estender seu alcance em toda a região APAC e para países de língua espanhola."
O malware foi detectado pela primeira vez pela empresa sediada em Singapura em agosto de 2023, embora haja indícios de que ele esteja ativo desde junho de 2023.
Embora a extensão exata das infecções atualmente não seja conhecida, descobriu-se que os aplicativos maliciosos se passam por um portal do governo vietnamita e por uma empresa de energia para solicitar permissões intrusivas para cumprir seus objetivos de coleta de dados.
Isso inclui principalmente o abuso dos serviços de acessibilidade do Android, que são destinados a ajudar usuários com deficiência a usar os aplicativos, a fim de interagir com os aplicativos alvo e extrair informações pessoais, roubar credenciais de aplicativos bancários, interceptar mensagens SMS e realizar várias ações do usuário.
A concessão de permissões ao malware também permite que ele ganhe total visibilidade das ações do usuário e visualize os saldos de contas bancárias, capture códigos de autenticação em duas etapas (2FA) e registre teclas, além de facilitar o acesso remoto ao dispositivo.
As cadeias de ataques que distribuem o GoldDigger se aproveitam de sites falsos que se passam por páginas da Google Play Store e por sites corporativos falsificados no Vietnã, o que aumenta a possibilidade de esses links serem propagados às vítimas via smishing ou táticas tradicionais de phishing.
No entanto, o sucesso da campanha depende da ativação da opção "Instalar de fontes desconhecidas" para permitir a instalação de aplicativos arbitrários disponíveis fora da loja oficial.
"Uma das principais características do GoldDigger é seu uso de um mecanismo de proteção avançado," a empresa observou em um relatório compartilhado com o The Hacker News.
"O Virbox Protector, um software legítimo identificado em todas as amostras descobertas do GoldDigger, permite que o Trojan torne tanto a análise estática quanto a dinâmica do malware significativamente mais complicadas e evite a detecção.
Isso apresenta um desafio em acionar atividades maliciosas em ambientes de teste ou emuladores."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...