Phần mềm độc hại GoldPickaxe nhắm mục tiêu vào người dùng iPhone tại Việt Nam và Thái Lan, thu thập thông tin đăng nhập bao gồm cả khuôn mặt để vượt qua các lớp bảo mật sinh trắc học.
GoldPickaxe được coi là một trong những mã độc đầu tiên được khai thác thành công trên nền tảng iOS. Phần mềm độc hại này có cùng nguồn gốc với phần mềm độc hại GoldDigger thuộc nhóm GoldFactory được hãng bảo mật Group-IB phát hiện vào giữa năm ngoái.
Trong cảnh báo lừa đảo trực tuyến do Cục An toàn thông tin Bộ Thông tin và Truyền thông ban hành hồi tháng 2, có trường hợp người dùng ở Hà Nội bị lừa cài đặt phần mềm dịch vụ công giả mạo. Phần mềm yêu cầu cảnh quay thật và ngày hôm sau, tài khoản chứng khoán của người này đã bị bán và hàng tỷ đồng được chuyển đi.
Group-IB cho rằng đây có thể là dấu hiệu cho thấy GoldPickaxe đang tấn công người dùng Việt Nam. Group-IB đánh giá: “Dựa trên các yêu cầu cụ thể về quét khuôn mặt và thực tế là GoldFactory hoạt động trong khu vực, chúng tôi nghi ngờ họ có thể đã bắt đầu khai thác GoldPickaxe tại Việt Nam”.
Một chiếc iPhone đang thực hiện quét khuôn mặt. hình ảnh: Lữ Quế
Tại Hội nghị Ngân hàng Tài chính Châu Á tổ chức tại TP.HCM vào giữa tháng 3, sự xuất hiện của GoldPickaxe cũng khiến nhiều tổ chức lo lắng. Ông Troy Le, đại diện nhà phát triển công cụ BShield hỗ trợ bảo mật nhiều ứng dụng lớn tại Việt Nam, cho biết mã độc này rất nguy hiểm vì đã khai thác thành công trên iOS và Android và thu thập dữ liệu trong đó có sinh trắc học người dùng. dữ liệu. Trong bối cảnh Thái Lan đã triển khai phương thức xác thực sinh trắc học bao gồm khuôn mặt cho các giao dịch có giá trị lớn và Việt Nam sắp áp dụng phương thức này, GoldPickaxe đã trở thành thách thức mới cho người dùng và nền tảng trong việc bảo vệ tài khoản.
GoldPickaxe hack vào tài khoản như thế nào?
Đầu tiên, kẻ tấn công sẽ cố gắng sử dụng các kỹ năng xã hội để tiêm một ứng dụng chứa mã độc vào thiết bị của nạn nhân. Trong trường hợp các nạn nhân ở Hà Nội nêu trên, chúng giả danh cơ quan công quyền, dụ dỗ người dùng cài đặt phần mềm dịch vụ công giả mạo. Tại Thái Lan, một tình huống phổ biến được ghi nhận là phần mềm hỗ trợ hoàn thuế, thanh toán tiền điện.
Đối với Android, người dùng chỉ cần cài đặt ứng dụng thông qua file apk. Khi sử dụng iOS, những kẻ lừa đảo sẽ khai thác nền tảng thử nghiệm ứng dụng TestFlight của Apple hoặc thuyết phục nạn nhân cài đặt hồ sơ quản lý thiết bị di động (MDM) để giành toàn quyền kiểm soát thiết bị.
Cơ chế tấn công của GoldPickaxe. hình ảnh: Nhóm IB
Khi thiết bị bị xâm phạm, GoldPickaxe sẽ kích hoạt các quyền như chặn lọc tin nhắn văn bản và truy cập internet. Trong khi đó, ứng dụng giả mạo yêu cầu người dùng xác minh danh tính bằng tài liệu cá nhân và quay video. Đoạn video được truyền đến máy chủ của hacker và trở thành tài liệu để tạo ra các tác phẩm deepfake và hoán đổi khuôn mặt bằng trí tuệ nhân tạo.
Chuyên gia Troy Le cho biết, mã độc sẽ âm thầm thu thập thông tin cá nhân của người dùng trên thiết bị và bí mật ghi lại dữ liệu hoạt động, thông tin người dùng nhập vào, từ đó tạo ra một bản ghi nhật ký (log). Ngoài ra, chúng còn thu thập dữ liệu khuôn mặt và có thể cả địa chỉ IP của nạn nhân để mạo danh, đánh lừa các dịch vụ nghĩ rằng họ là người dùng thực sự.
“Với dữ liệu này, kẻ tấn công sẽ không cần thực hiện các giao dịch trái phép trực tiếp từ điện thoại của nạn nhân. Thay vào đó, chúng sẽ thu thập tất cả thông tin cần thiết để truy cập ứng dụng ngân hàng từ một thiết bị khác”, ông Troy Le giải thích.
Làm thế nào để tránh xa GoldPickaxe?
Cục An toàn thông tin đã liên tục đưa ra cảnh báo, khuyến cáo người dùng không cung cấp thông tin cá nhân hay cài đặt ứng dụng không rõ nguồn gốc để tránh bị đánh cắp tài khoản. Nhưng trên thực tế, kịch bản và phương thức tấn công thường xuyên thay đổi khiến nhiều người trở thành nạn nhân dù đã cảnh giác.
Ở góc độ các nhà phát triển nền tảng bảo mật, ông Troy Le cho rằng các ngân hàng, tổ chức tài chính cũng cần chủ động thiết lập các cơ chế phòng ngừa rủi ro cho người dùng.
Sau khi triển khai BShield cho nhiều ứng dụng tài chính ngân hàng tại Việt Nam, ông Troy Le cho biết, nhiều nền tảng, dịch vụ vẫn còn tồn tại những điểm yếu như chưa có cơ chế phát hiện các thiết bị không an toàn để có kế hoạch ngăn chặn kịp thời các ứng dụng hoạt động mà không có cơ chế kiểm tra liên tục; Điều này giúp hacker chiếm quyền kiểm soát tài khoản của nạn nhân chỉ bằng cách vượt qua bước kiểm tra ban đầu của ứng dụng. Ngoài ra, một số ứng dụng có thể khai thác lỗ hổng API, từ đó mã độc có thể can thiệp và thay đổi cách thức hoạt động của ứng dụng, đồng thời hacker có thể tiến hành các cuộc tấn công man-in-the-middle.
“Các ứng dụng tài chính, ngân hàng luôn là mục tiêu hàng đầu của tin tặc. Vì vậy, bản thân chúng cần thiết lập cơ chế bảo vệ cho người dùng và dịch vụ của chính mình”.
Theo Group-IB, phần mềm độc hại của nhóm GoldFactory còn có một số tính năng khiến người dùng dễ bị lừa như gửi cảnh báo ứng dụng ngân hàng giả, màn hình cuộc gọi giả và tin nhắn văn bản để dụ nạn nhân thực hiện một số hành động nhất định. Người dùng cần cảnh giác nếu thấy các dấu hiệu lạ như máy hao pin, nóng lên bất thường, hiển thị thông báo lạ, sử dụng nhiều dữ liệu hay ứng dụng yêu cầu quá nhiều quyền.
Lữ Quế
