Yeni bir Android bankacılık truva atı adı verildi Altın Kazıcı Kurbanların fonlarını ve arka kapı bulaşmış cihazlarına sızmak amacıyla çeşitli finansal uygulamaları hedef aldığı tespit edildi.
Group-IB, “Kötü amaçlı yazılım 50’den fazla Vietnam bankacılığı, e-cüzdan ve kripto cüzdan uygulamasını hedef alıyor” dedi. “Bu tehdidin, daha geniş APAC bölgesine ve İspanyolca konuşulan ülkelere ulaşmaya hazır olabileceğine dair göstergeler var.”
Kötü amaçlı yazılım ilk tespit edildi Singapur merkezli şirket tarafından Ağustos 2023’te başlatıldı, ancak Haziran 2023’ten bu yana aktif olduğuna dair kanıtlar var.
Bulaşmaların kesin ölçeği şu anda bilinmemekle birlikte, kötü amaçlı uygulamaların, veri toplama hedeflerine ulaşmak için bir Vietnam hükümet portalını ve bir enerji şirketini taklit ederek izinsiz izinler talep ettiği tespit edildi.
Bu öncelikle, hedeflenen uygulamalarla etkileşimde bulunmak ve kişisel bilgileri çıkarmak, bankacılık uygulaması kimlik bilgilerini çalmak, SMS mesajlarına müdahale etmek ve çeşitli kullanıcı işlemlerini gerçekleştirmek amacıyla engelli kullanıcıların uygulamaları kullanmasına yardımcı olmayı amaçlayan Android’in erişilebilirlik hizmetlerinin kötüye kullanılmasını içerir.
Kötü amaçlı yazılıma izin vermek, aynı zamanda kullanıcı eylemlerine ilişkin tam görünürlük elde etmesine, banka hesap bakiyelerini görüntülemesine, iki faktörlü kimlik doğrulama (2FA) kodlarını yakalamasına ve tuş vuruşlarını günlüğe kaydetmesine ve ayrıca cihaza uzaktan erişimi kolaylaştırmasına olanak tanır.
GoldDigger’ı dağıtan saldırı zincirleri, Google Play Store sayfalarını taklit eden sahte web sitelerinden ve Vietnam’daki sahte kurumsal web sitelerinden yararlanıyor ve bu bağlantıların kurbanlara smishing veya geleneksel kimlik avı taktikleri yoluyla yayılma olasılığını artırıyor.
Ancak kampanyanın başarısı, resmi mağazanın dışında bulunan rastgele uygulamaların yüklenmesine izin veren “Bilinmeyen Kaynaklardan Yükle” seçeneğinin etkinleştirilmesine bağlı.
Şirket, The Hacker News ile paylaştığı bir raporda “GoldDigger’ın ana özelliklerinden biri gelişmiş bir koruma mekanizması kullanmasıdır” dedi.
“GoldDigger’ın keşfedilen tüm örneklerinde tanımlanan meşru bir yazılım olan Virbox Protector, Truva Atı’nın hem statik hem de dinamik kötü amaçlı yazılım analizini önemli ölçüde karmaşıklaştırmasına ve tespitten kaçmasına olanak tanıyor. Bu, sanal alanlarda veya emülatörlerde kötü amaçlı etkinliklerin tetiklenmesinde zorluk yaratıyor.”