Yeni bir Android bankacılık truva atı adı verildi Altın Kazıcı Kurbanların fonlarını ve arka kapı bulaşmış cihazlarına sızmak amacıyla çeşitli finansal uygulamaları hedef aldığı tespit edildi.
Group-IB, “Kötü amaçlı yazılım 50’den fazla Vietnam bankacılığı, e-cüzdan ve kripto cüzdan uygulamasını hedef alıyor” dedi söz konusu. “Bu tehdidin, erişimini daha geniş APAC bölgesi ve İspanyolca konuşulan ülkelere genişletmeye hazır olabileceğine dair göstergeler var.”
Kötü amaçlı yazılım ilk tespit edildi Singapur merkezli şirket tarafından Ağustos 2023’te başlatıldı, ancak Haziran 2023’ten bu yana aktif olduğuna dair kanıtlar var.
Bulaşmaların kesin ölçeği şu anda bilinmemekle birlikte, kötü amaçlı uygulamaların, veri toplama hedeflerine ulaşmak için bir Vietnam hükümet portalını ve bir enerji şirketini taklit ederek izinsiz izinler talep ettiği tespit edildi.
Bu öncelikle şunları içerir: taciz Hedeflenen uygulamalarla etkileşimde bulunmak ve kişisel bilgileri çıkarmak, bankacılık uygulaması kimlik bilgilerini çalmak, SMS mesajlarına müdahale etmek ve çeşitli kullanıcı işlemlerini gerçekleştirmek için engelli kullanıcıların uygulamaları kullanmalarına yardımcı olmayı amaçlayan Android erişilebilirlik hizmetleri.
Kötü amaçlı yazılıma izin vermek, aynı zamanda kullanıcı eylemlerine ilişkin tam görünürlük elde etmesine, banka hesap bakiyelerini görüntülemesine, iki faktörlü kimlik doğrulama (2FA) kodlarını yakalamasına ve tuş vuruşlarını günlüğe kaydetmesine ve ayrıca cihaza uzaktan erişimi kolaylaştırmasına olanak tanır.
GoldDigger’ı dağıtan saldırı zincirleri, Google Play Store sayfalarını taklit eden sahte web sitelerinden ve Vietnam’daki sahte kurumsal web sitelerinden yararlanıyor ve bu bağlantıların kurbanlara smishing veya geleneksel kimlik avı taktikleri yoluyla yayılma olasılığını artırıyor.
Ancak kampanyanın başarısı, resmi mağazanın dışında bulunan rastgele uygulamaların yüklenmesine izin veren “Bilinmeyen Kaynaklardan Yükle” seçeneğinin etkinleştirilmesine bağlı.
GoldDigger, son birkaç ayda ortaya çıkan ve halihazırda ortalıkta dolaşan çok sayıda benzer araca eklenen birkaç Android bankacılık truva atından biri.
Şirket, The Hacker News ile paylaştığı bir raporda “GoldDigger’ın ana özelliklerinden biri gelişmiş bir koruma mekanizması kullanmasıdır” dedi.
“GoldDigger’ın keşfedilen tüm örneklerinde tanımlanan meşru bir yazılım olan Virbox Protector, Truva atının hem statik hem de dinamik kötü amaçlı yazılım analizini önemli ölçüde karmaşıklaştırmasına ve tespitten kaçmasına olanak tanıyor. Bu, sanal alanlarda veya emülatörlerde kötü amaçlı etkinliklerin tetiklenmesinde zorluk yaratıyor.”