Cần cảnh giác trước các thủ đoạn tấn công mới xuất hiện nhằm vào người dùng iOS để đánh cắp dữ liệu nhận dạng khuôn mặt và truy cập trái phép vào tài khoản ngân hàng.
Theo báo cáo chi tiết của công ty an toàn thông tin Group-IB có trụ sở tại Singapore, một trojan mới đã xuất hiện với thiết kế đặc biệt nhằm tấn công khách hàng ngân hàng sử dụng iPhone. Đáng chú ý, các nạn nhân hầu hết đều ở Việt Nam và Thái Lan.
Được phát triển bởi nhóm tội phạm mạng GoldFactory, trojan này hoạt động từ tháng 6/2023 trên nền tảng Android với các biến thể như “GoldDigger”, “GoldDiggerPlus” và “GoldKefu”.
Phiên bản mới GoldPickaxe.IOS dựa trên trojan GoldDigger ở Android nhưng có năng lực tinh vi hơn. Nó có thể né tránh bị phát hiện khi thu thập dữ liệu nhận dạng khuôn mặt và tài liệu định danh, đồng thời đọc trộm tin nhắn SMS để lấy quyền truy cập trái phép vào tài khoản ngân hàng.
Tin tặc khai thác dữ liệu sinh trắc học bị đánh cắp bằng cách tạo ra các hình ảnh deepfake thông qua thủ thuật hoán đổi khuôn mặt bằng công nghệ AI. Các deepfake sau đó được sử dụng để thay thế khuôn mặt của nạn nhân nhằm truy cập trái phép vào tài khoản ngân hàng của họ.
Cũng theo Group-IB, rất có thể các cuộc tấn công GoldPickaxe sẽ xuất hiện nhiều hơn trong thời gian tới khi mà Ngân hàng Nhà nước Việt Nam có kế hoạch quy định xác thực khuôn mặt khi chuyển tiền từ tháng 4/2024.
Trojan GoldPickaxe.IOS đã xâm nhập vào iOS như thế nào?
Câu trả lời ngắn gọn là: tấn công phi kỹ thuật.
Tội phạm mạng ban đầu lợi dụng nền tảng thử nghiệm ứng dụng di động TestFlight của Apple để phát tán trojan.
TestFlight là công cụ được các nhà phát triển ứng dụng dùng để phân phối và thử nghiệm beta các ứng dụng iOS của họ trước khi phát hành chính thức trên App Store. Nó cho phép các nhà phát triển mời người dùng thử nghiệm ứng dụng của họ.
Ví dụ: nạn nhân có thể nhận được một URL nhìn có vẻ “vô hại” như https://testflight.apple.com/join/. Họ lầm tưởng rằng URL đó đáng tin cậy và tiến hành cài đặt phần mềm giả mạo mà không hay biết.
Một thủ thuật khác là thao túng các thiết bị Apple thông qua phần mềm Quản lý thiết bị di động (MDM), cho phép thay đổi cấu hình các thiết bị thông qua mạng không dây bằng cách gửi hồ sơ và lệnh đến thiết bị.
Sau khi tương tác với các trang web lừa đảo do tin tặc kiểm soát, nạn nhân được dẫn dắt để cài đặt hồ sơ MDM. Sau bước cài đặt thành công, tội phạm mạng sẽ có toàn quyền kiểm soát thiết bị của nạn nhân.
Người dùng có thể làm gì để tự bảo vệ mình?
Người dùng iOS nên tránh sử dụng TestFlight và chỉ tải ứng dụng đáng tin cậy từ App Store chính thức của Apple, đồng thời cài đặt mọi bản vá do Apple phát hành ngay khi chúng ra mắt.
Người dùng không nên nhấp vào bất kỳ liên kết đáng ngờ nào, và không nên tải xuống, chấp nhận hoặc mở các tệp có nguồn gốc không xác định hoặc không đáng tin cậy. Không nên nhấp vào cảnh báo/tin nhắn hiện lên liên quan tới ngân hàng nếu có nguy cơ thiết bị đã bị nhiễm phầm mềm độc hại.
Một việc nữa là cần kiểm tra danh sách các ứng dụng đã cài đặt trong thiết bị, để phát hiện bất kỳ ứng dụng lạ hoặc đáng ngờ nào mà người dùng không cài đặt trước đó.
Cuối cùng, những dấu hiệu rõ ràng cho thấy điện thoại có thể bị nhiễm phần mềm độc hại là:
- Pin cạn kiệt nhanh: Phần mềm độc hại có thể đang chạy ẩn.
- Hiệu suất chậm: Phần mềm độc hại có thể tiêu tốn tài nguyên hệ thống và dẫn đến tình trạng nóng máy.
- Điện thoại đang tự thực hiện thao tác mà không có sự can thiệp của người dùng, như gọi điện, gửi tin nhắn và truy cập các ứng dụng: Đây có thể là dấu hiệu cho thấy phần mềm độc hại đang thực hiện các cuộc tấn công “command and control” (tạm dịch: ra lệnh và kiểm soát).
Mắt xích yếu nhất của hình thức tấn công phi kỹ thuật là người dùng. Vì vậy, giữ tinh thần cảnh giác là nhiệm vụ tối quan trọng.