Un nuevo troyano bancario para Android llamado Buscador de oro Se ha descubierto que apunta a varias aplicaciones financieras con el objetivo de desviar los fondos de las víctimas y los dispositivos infectados por la puerta trasera.
«El malware se dirige a más de 50 aplicaciones vietnamitas de banca, billetera electrónica y criptomoneda», Group-IB dicho. «Hay indicios de que esta amenaza podría estar a punto de extender su alcance a toda la región APAC y a los países de habla hispana».
El malware fue detectado por primera vez por la empresa con sede en Singapur en agosto de 2023, aunque hay pruebas que sugieren que ha estado activa desde junio de 2023.
Si bien actualmente se desconoce la escala exacta de las infecciones, se ha descubierto que las aplicaciones maliciosas se hacen pasar por un portal del gobierno vietnamita y una empresa de energía para solicitar permisos intrusivos para cumplir sus objetivos de recopilación de datos.
Esto incluye principalmente abusando Los servicios de accesibilidad de Android, cuyo objetivo es ayudar a los usuarios con discapacidades a utilizar las aplicaciones, con el fin de interactuar con las aplicaciones específicas y extraer información personal, robar credenciales de aplicaciones bancarias, interceptar mensajes SMS y realizar diversas acciones de usuario.
Otorgar permisos al malware también le permite obtener visibilidad completa de las acciones de los usuarios y ver los saldos de las cuentas bancarias, capturar códigos de autenticación de dos factores (2FA) y registrar las pulsaciones de teclas, además de facilitar el acceso remoto al dispositivo.
Las cadenas de ataque que distribuyen GoldDigger aprovechan sitios web falsos que se hacen pasar por páginas de Google Play Store y sitios web corporativos falsificados en Vietnam, lo que aumenta la posibilidad de que estos enlaces se propaguen a las víctimas mediante tácticas tradicionales de phishing o smishing.
Sin embargo, el éxito de la campaña depende de habilitar la opción «Instalar desde fuentes desconocidas» para permitir la instalación de aplicaciones arbitrarias disponibles fuera de la tienda oficial.
GoldDigger es uno de varios troyanos bancarios para Android que han aparecido en los últimos meses y se han sumado a un gran número de herramientas similares que circulan actualmente.
«Una de las principales características de GoldDigger es el uso de un mecanismo de protección avanzado», señaló la compañía en un informe compartido con The Hacker News.
«Virbox Protector, un software legítimo identificado en todas las muestras descubiertas de GoldDigger, permite al troyano complicar significativamente el análisis de malware tanto estático como dinámico y evadir la detección. Esto presenta un desafío a la hora de desencadenar actividad maliciosa en entornos sandbox o emuladores».