Trojan GoldDigger được thiết kế đặc biệt để tấn công người dùng iPhone, có khả năng đánh cắp dữ liệu khuôn mặt và rút tiền từ các ứng dụng thanh toán.
Một trong những lý do khiến nhiều người chọn iPhone là vì họ cho rằng điện thoại Apple an toàn hơn điện thoại Android. Tuy nhiên, theo công ty an ninh mạng Group-IB, suy nghĩ đó có thể thay đổi khi họ phát hiện ra phiên bản đầu tiên của Trojan nhắm mục tiêu vào iPhone. Điều đáng chú ý là phần mềm độc hại chủ yếu nhắm vào thiết bị của người dùng ở Việt Nam và Thái Lan, nhưng tội phạm mạng cũng có thể mở rộng phạm vi tiếp cận toàn cầu trong tương lai gần.
GoldDigger thực chất là một Trojan chạy trên Android nhưng đã được sửa đổi thành phiên bản GoldPickaxe trên iOS. Sau khi được cài đặt trên điện thoại thông minh iPhone hoặc Android, GoldPickaxe có thể thu thập thông tin như FaceID, dữ liệu nhận dạng và tin nhắn văn bản để lặng lẽ rút tiền từ tài khoản ngân hàng hoặc ứng dụng tài chính. Dữ liệu sinh trắc học cũng có thể được sử dụng để tạo các bản deepfake, mạo danh nạn nhân và truy cập vào tài khoản ngân hàng của họ.
iPhone 15 Pro Max và 15 Pro. hình ảnh: tuanhong
Trojan nhắm mục tiêu vào tài khoản ngân hàng sẽ gặp khó khăn khi chạy trên iPhone do hệ sinh thái ứng dụng đóng của Apple. Tuy nhiên, tin tặc đã tìm ra cách phát tán Trojan thông qua nền tảng TestFlight. Đây là khu vực riêng do Apple cung cấp để các nhà phát triển thử nghiệm ứng dụng của họ trước khi phát hành lên App Store. Họ có thể tải lên ứng dụng chưa hoàn thiện và sau đó gửi liên kết đến những người thử nghiệm cụ thể. Người dùng thử nghiệm sẽ sử dụng toàn bộ hoặc một phần ứng dụng và sau đó đưa ra phản hồi để cải thiện sản phẩm.
Sau khi Apple loại bỏ Trojan GoldPickaxe khỏi TestFlight, tin tặc đã chuyển sang một phương pháp nâng cao hơn liên quan đến cấu hình quản lý thiết bị di động (MDM), thường được sử dụng để quản lý các thiết bị doanh nghiệp. Group-IB đã thông báo cho Apple về vấn đề này.
Theo Group-IB, GoldPickaxe được phát triển bởi hacker có tên GoldFactory. Ngoài ra, họ còn phát hiện ra một biến thể GoldDiggerPlus cho phép kẻ tấn công gọi trực tiếp cho người dùng thiết bị bị nhiễm Trojan. Công ty bảo mật tin rằng các Trojan tương tự GoldDigger hay GoldPickaxe sẽ tiếp tục xuất hiện trong thời gian tới.
Để bảo vệ iPhone, người dùng nên tránh cài đặt ứng dụng từ các nguồn không đáng tin cậy và hạn chế tải xuống ứng dụng thông qua TestFlight, vì nền tảng này không bị kiểm duyệt như App Store.
Faide (dựa theo Người trong cuộc của Apple)
