Group-IB, международная компания в сфере кибербезопасности, сообщила об обнаружении банковского вредоноса, ограбившего вьетнамских пользователей и готового к дальнейшему распространению.

Вредоносная программа была впервые зафиксирована в июне. Подразделение по анализу угроз Group-IB выявило более десяти поддельных веб-сайтов, выдающих себя за страницы Google PlayStore, и поддельные веб-сайты вьетнамских компаний. Для большей убедительности некоторые сайты содержат отзывы пользователей и символику Вьетнама.

Сайты созданы для того, чтобы убедить пользователей загрузить вредоносное приложение GoldDigger, названное в честь специфического действия, обнаруженного в файле APK под названием «GoldActivity». Group-IB не смогла установить первоначальный вектор атак; скорее всего, операторы трояна распространяли ссылки на сайты через мессенджеры или посредством традиционного фишинга. Безопасники обнаружили два разных штамма GoldDigger: один выдавал себя за вьетнамский правительственный портал, другой имитировал местную энергетическую компанию.

После установки и запуска GoldDigger запрашивает доступ к специальной службе Android, предназначенной для оказания помощи пользователям с ограниченными возможностями. Используя возможности этого сервиса, вредонос может отслеживать функции устройства и манипулировать ими. GoldDigger извлекает конфиденциальную информацию, в том числе логины и пароли, перехватывает SMS. Троян отслеживает события, связанные с 51 приложением вьетнамских финансовых организаций, а также электронными кошельками и криптоприложениями. После сбора пользовательских данных (логины и пароли) GoldDigger отправляет сведения на серверы управления (C&C).

Ещё одна особенность GoldDigger заключается в том, что он использует Virbox Protector — легальное программное обеспечение, обеспечивающее расширенную защиту от обфускации и шифрования. Разработчики вредоносных программ используют Virbox Protector, чтобы затруднить исследователям кибербезопасности анализ и реинжиниринг их вредоносного кода и избежать обнаружения решениями по борьбе с мошенничеством.

Group-IB предупреждает, что помимо вьетнамского языка, вредонос включает языковые переводы на испанский и традиционный китайский, что говорит о планах хакеров по дальнейшему использованию GoldDigger в испаноязычных странах и странах Азиатско-Тихоокеанского региона.

Чтобы свести к минимуму риск загрузки банковских троянов, Group-IB рекомендует пользователям проверять наличие обновлений на мобильных устройствах, избегать загрузки приложений из посторонних источников и следить, какие разрешения запрашивает приложение после его загрузки.