Cảnh giác trước mã độc GoldPickaxe tấn công iPhone tại Việt Nam

GoldPickaxe được coi là một trong những mã độc đầu tiên khai thác thành công trên nền tảng iOS. Mã độc này có cùng nguồn gốc với mã độc GoldDigger của nhóm GoldFactory, được công ty bảo mật Group-IB phát hiện từ giữa năm ngoái.

Trong cảnh báo lừa đảo mạng do Cục An toàn thông tin - Bộ Thông tin và Truyền thông đưa ra hồi tháng 2, có trường hợp một người dùng tại Hà Nội bị lừa cài phần mềm Dịch vụ công giả mạo. Phần mềm yêu cầu quay video xác thực và đến hôm sau, tài khoản chứng khoán của người này đã bị bán và chuyển đi hàng tỷ đồng.

Theo Group-IB (Công ty tình báo mạng chuyên săn tìm mối đe dọa toàn cầu, chuyên điều tra và ngăn chặn tội phạm mạng công nghệ cao), đây có thể là dấu hiệu GoldPickaxe đang tấn công người dùng Việt. "Dựa trên yêu cầu đặc biệt là quét khuôn mặt, cùng thực tế là GoldFactory đang hoạt động trong khu vực, chúng tôi nghi ngờ có thể họ đã bắt đầu khai thác GoldPickaxe tại Việt Nam", Group-IB đánh giá.

Sự xuất hiện của GoldPickaxe khiến nhiều tổ chức lo ngại vì độ nguy hiểm khi nó đã khai thác thành công trên cả iOS và Android đồng thời thu thập cả sinh trắc học của người dùng. Đây sẽ là mối nguy hại lớn trong bảo vệ tài khoản khi Việt Nam sắp áp dụng xác thực sinh trắc học bao gồm cả khuôn mặt cho các giao dịch lớn.

Với Android, người dùng chỉ cần cài ứng dụng qua file apk. Trong khi với iOS, đầu tiên chúng lợi dụng lỗ hổng của nền tảng TestFlight của Apple - nơi các nhà phát triển có thể tải lên bản thử nghiệm ứng dụng trước khi đưa lên App Store. Thông qua TestFlight, hacker đã phát tán liên kết tải trojan tới nạn nhân.

Sau khi bị phát hiện, các hacker đã chuyển sang khai thác công nghệ MDM để quản lý thiết bị di động từ xa. Chúng lợi dụng điểm yếu này để cài đặt trojan mà không cần sự tương tác của người dùng.

Sau khi xâm nhập, GoldPickaxe kích hoạt các quyền như chặn lọc SMS, quyền truy cập Internet. Bên cạnh đó, ứng dụng giả mạo sẽ yêu cầu người dùng xác thực danh tính bằng giấy tờ cá nhân có quay video. Video này sẽ được dùng vào việc tạo ra Deepfake- hoán đổi khuôn mặt bằng AI.

Theo đại diện nhà phát triển công cụ Bshield (giải pháp bảo vệ ứng dụng di động được phát triển bởi đội ngũ công ty Verichain) - ông Troy Lê chia sẻ, mã độc sẽ âm thầm thu thập các thông tin cá nhân của người dùng trong thiết bị và ghi lén các dữ liệu về hoạt động, thông tin mà người dùng nhập vào, từ đó tạo ra các bản ghi nhật ký (log). Ngoài ra, chúng cũng thu thập dữ liệu khuôn mặt, có thể cả địa chỉ IP của nạn nhân để mô phỏng lại, từ đó lừa các dịch vụ rằng đó là người dùng thật.

"Với dữ liệu này, kẻ tấn công không cần trực tiếp thực hiện giao dịch trái phép từ điện thoại của nạn nhân. Thay vào đó, chúng thu thập tất cả thông tin cần thiết để truy cập vào ứng dụng ngân hàng của họ từ một thiết bị khác", ông Troy Lê nói.

Làm sao để an toàn trước GoldPickaxe?

Cục An toàn thông tin đã liên tục đưa ra cảnh báo, khuyến nghị người dùng về việc không cung cấp thông tin cá nhân hay cài ứng dụng không rõ nguồn gốc để tránh việc bị đánh cắp tài khoản. Tuy nhiên thực tế, kịch bản và phương thức tấn công thường xuyên thay đổi, khiến không ít người vẫn trở thành nạn nhân dù đã cảnh giác.

Ở góc nhìn của đơn vị phát triển nền tảng bảo mật, ông Troy Lê cho rằng ngân hàng, tổ chức tài chính cũng cần chủ động có cơ chế ngăn chặn nguy cơ cho người dùng.

Sau quá trình triển khai BShield cho nhiều ứng dụng tài chính ngân hàng tại Việt Nam, ông Troy Lê cho biết nhiều nền tảng, dịch vụ vẫn tồn tại các điểm yếu như chưa có cơ chế phát hiện thiết bị không đảm bảo an toàn để có phương án ngăn chặn kịp thời; quá trình ứng dụng hoạt động thiếu cơ chế kiểm tra liên tục. Điều này giúp hacker chỉ cần vượt qua vòng kiểm tra đầu của các ứng dụng là có thể kiểm soát tài khoản của nạn nhân. Ngoài ra, một số ứng dụng có thể bị khai thác lỗ hổng API, từ đó mã độc có thể can thiệp, thay đổi cách thức hoạt động của ứng dụng và hacker tiến hành các cuộc tấn công xen giữa.

"Các ứng dụng tài chính, ngân hàng luôn là mục tiêu hàng đầu trong các cuộc tấn công của hacker. Vì vậy, bản thân họ cần xây dựng cơ chế bảo vệ cho người dùng và chính dịch vụ của mình", chuyên gia này khuyến nghị.

Theo Group-IB, mã độc của nhóm GoldFactory còn có nhiều tính năng khiến người dùng dễ bị lừa, như phát cảnh báo giả ứng dụng ngân hàng, giả màn hình cuộc gọi, tin nhắn dụ nạn nhân thực hiện một thao tác nào đó. Người dùng cần cảnh giác nếu thấy dấu hiệu lạ như thiết bị ngốn pin, nóng bất thường, hiển thị thông báo lạ, sử dụng nhiều dữ liệu, hay các ứng dụng đòi cấp nhiều quyền quá nhiều.

Khánh Mai (t/h)