Un nouveau cheval de Troie bancaire Android nommé Chercheur d’or a été découvert ciblant plusieurs applications financières dans le but de siphonner les fonds des victimes et les appareils infectés par des portes dérobées.
« Le malware cible plus de 50 applications bancaires, de portefeuilles électroniques et de portefeuilles cryptographiques vietnamiens », Group-IB dit. « Il y a des indications que cette menace pourrait être sur le point d’étendre sa portée à l’ensemble de la région APAC et aux pays hispanophones. »
Le malware était détecté pour la première fois par la société basée à Singapour en août 2023, bien qu’il existe des preuves suggérant qu’elle est active depuis juin 2023.
Bien que l’ampleur exacte des infections ne soit pas connue pour le moment, il a été constaté que les applications malveillantes usurpaient l’identité d’un portail du gouvernement vietnamien et d’une société énergétique pour demander des autorisations intrusives afin d’atteindre ses objectifs de collecte de données.
Cela comprend principalement abuser Les services d’accessibilité d’Android, destinés à aider les utilisateurs handicapés à utiliser les applications, afin d’interagir avec les applications ciblées et d’extraire des informations personnelles, de voler les informations d’identification des applications bancaires, d’intercepter les messages SMS et d’effectuer diverses actions de l’utilisateur.
Accorder des autorisations au logiciel malveillant lui permet également d’obtenir une visibilité complète sur les actions des utilisateurs et d’afficher les soldes des comptes bancaires, de capturer les codes d’authentification à deux facteurs (2FA) et d’enregistrer les frappes au clavier, ainsi que de faciliter l’accès à distance aux appareils.
Les chaînes d’attaque distribuant GoldDigger exploitent de faux sites Web usurpant l’identité des pages du Google Play Store et des sites Web d’entreprises contrefaits au Vietnam, augmentant ainsi la possibilité que ces liens soient propagés aux victimes via des tactiques de smishing ou de phishing traditionnelles.
Cependant, le succès de la campagne dépend de l’activation de l’option « Installer à partir de sources inconnues » pour permettre l’installation d’applications arbitraires disponibles en dehors de la vitrine officielle.
GoldDigger est l’un des nombreux chevaux de Troie bancaires Android qui ont fait leur apparition au cours des derniers mois et sont venus s’ajouter à un nombre déjà important d’outils similaires qui circulent actuellement dans la nature.
« L’une des principales caractéristiques de GoldDigger est l’utilisation d’un mécanisme de protection avancé », a noté la société dans un rapport partagé avec The Hacker News.
« Virbox Protector, un logiciel légitime identifié dans tous les échantillons découverts de GoldDigger, permet au cheval de Troie de compliquer considérablement l’analyse statique et dynamique des logiciels malveillants et d’échapper à la détection. Cela présente un défi pour déclencher une activité malveillante dans les bacs à sable ou les émulateurs. »