Một loại Trojan mới nhắm vào người dùng hệ điều hành iOS để đánh cắp dữ liệu nhận dạng khuôn mặt, giấy tờ tùy thân và gián điệp tin nhắn SMS của người dùng vừa bị phát hiện.
Trojan này được đặt tên là GoldPickaxe.iOS, do Công ty công nghệ an ninh mạng phục vụ điều tra, ngăn chặn và chống tội phạm kỹ thuật số Group-IB (Singapore) phát hiện vào tháng 2-2024.
Mục tiêu của mã độc là tài khoản ngân hàng người dùng iOS
Theo Group-IB, nó được xác định là một phiên bản liên quan đến một nhóm tội phạm nói tiếng Trung có tên là GoldFactory – phát triển một dòng Trojan ngân hàng cực kỳ nguy hiểm, gồm các phiên bản: GoldDigger, GoldDiggerPlus, GoldKefu và GoldPickaxe.
GoldPickaxe.iOS là phiên bản Trojan dành cho iOS đầu tiên được Group-IB phát hiện. Chúng có những khả năng: thu thập dữ liệu sinh trắc học của nạn nhân, thông tin giấy tờ tùy thân, gián điệp tin nhắn SMS và chuyển tiếp lưu lượng truy cập thông qua thiết bị của nạn nhân.
Phiên bản “anh em” nhắm vào các thiết bị dùng hệ điều hành Android của nó có tên là GoldPickaxe.Android thậm chí còn có nhiều chức năng hơn so với phiên bản iOS do iOS có nhiều biện pháp bảo vệ hơn cũng như có tính chất giới hạn chặt chẽ.
Một chi tiết đáng chú ý là Trojan này được ngụy trang thành các ứng dụng dịch vụ của chính phủ Thái Lan (bao gồm cả ứng dụng hưu trí Digital Pension theo như báo cáo của đơn vị phản ứng nhanh ứng phó sự cố an ninh mạng ngành ngân hàng Thái Lan) – cách ngụy trang để lây nhiễm rất giống với thực trạng ứng dụng mạo danh tại Việt Nam hiện nay.
Các chuyên gia Group-IB cũng cho biết phiên bản mã độc nêu trên nhắm vào hệ điều hành Android cũng đã được phát hiện ở Việt Nam.
Theo Group-IB, GoldPickaxe không trực tiếp lấy cắp tiền từ điện thoại của nạn nhân. Thay vào đó, nó thu thập tất cả thông tin cần thiết từ nạn nhân để tạo các bản deepfake dạng video giả mạo và tự động chiếm quyền truy cập vào ứng dụng ngân hàng của nạn nhân.
Trong khi đó tại Thái Lan hiện nay, nhận dạng khuôn mặt là phương thức hiện đang được các tổ chức tài chính Thái Lan tin dùng để xác minh giao dịch và xác thực đăng nhập.
Trong quá trình nghiên cứu, Group-IB phát hiện Trojan này có khả năng yêu cầu nạn nhân quét khuôn mặt và gửi ảnh ID danh tính cá nhân.
Ngoài ra, nhóm tội phạm còn yêu cầu số điện thoại để biết thêm nhiều thông tin chi tiết về mục tiêu của chúng, đặc biệt là tìm kiếm thông tin về tài khoản ngân hàng được liên kết với nạn nhân.
iOS đã không còn an toàn
Trước đó, Group-IB cũng đã phát hiện Trojan dòng GoldFactory nhắm mục tiêu vào nạn nhân thuộc khu vực Châu Á – Thái Bình Dương, đặc biệt là nhắm mục tiêu vào Thái Lan và Việt Nam, bằng cách mạo danh các ngân hàng địa phương và các tổ chức chính phủ.
Các nhà nghiên cứu của Group-IB cho biết nhóm tội phạm không khai thác bất kỳ lỗ hổng nào. Thay vào đó, GoldFactory sử dụng sơ đồ kỹ thuật xã hội đa giai đoạn để thao túng nạn nhân, khiến họ cho phép tất cả các quyền truy cập thiết bị cần thiết, dẫn tới việc cho phép cài đặt phần mềm độc hại.
Thông qua kịch bản này, nạn nhân bị thuyết phục cài đặt cấu hình quản lý thiết bị di động (MDM) và cấp cho nhóm tội phạm quyền kiểm soát hoàn toàn thiết bị của mình.
MDM cung cấp nhiều tính năng như: xóa từ xa, theo dõi thiết bị và quản lý ứng dụng mà các tội phạm mạng thường lợi dụng để cài đặt các ứng dụng độc hại và lấy cắp thông tin mà chúng cần.
Trước đó, tháng 6-2023, hãng bảo mật Kaspersky cũng đã phát hiện một chiến dịch tấn công APT (tấn công mạng có chủ đích) nhắm mục tiêu vào các thiết bị iOS.
Với tên gọi Operation Triangulation, chiến dịch này sử dụng một phương pháp tinh vi để thực hiện các hoạt động khai thác zero-click qua dịch vụ tin nhắn iMessage chạy phần mềm độc hại và giành quyền kiểm soát hoàn toàn đối với thiết bị và dữ liệu của người dùng.
Trao đổi với Tuổi Trẻ Online, ông Vũ Ngọc Sơn, giám đốc công nghệ Công ty an ninh mạng NCS, cho biết trước GoldPickaxe đã có một số loại mã độc trên iOS được ghi nhận như: GoldDigger hay Pegasus.
Trong đó mã độc Pegasus được coi là mã độc nổi tiếng nhất trên iOS vì có thể tấn công, chiếm quyền điều khiển thiết bị iOS mà không cần phải lừa người dùng bấm đường dẫn hay tải phần mềm.
Sự xuất hiện của Pegasus cách đây 3 năm đã cho thấy iOS không phải là an toàn tuyệt đối. Do vậy, người dùng iOS cũng cần cảnh giác vì điện thoại của mình hoàn toàn có thể bị hack và chiếm quyền điều khiển như các điện thoại android.
Nên định kỳ tắt điện thoại
Theo ông Vũ Ngọc Sơn, để phòng tránh, người dùng cần tránh cài ứng dụng từ nguồn không chính thống, không bấm vào đường dẫn lạ, không làm theo các hướng dẫn của người không quen biết. Đồng thời thường xuyên cập nhật đầy đủ các bản cập nhật phần mềm từ nhà sản xuất. Người dùng cũng nên định kỳ tắt điện thoại và bật lại điện thoại để phòng tránh mã độc thường trú trên bộ nhớ điện thoại.