Trojan đầu tiên tấn công người dùng iOS ở Việt Nam và Thái Lan

Đây là một phiên bản được tinh chỉnh của một trojan Android được biết đến trước đó là GoldPickaxe.

Mục tiêu của GoldDigger là thu thập thông tin nhạy cảm từ các thiết bị iPhone, bao gồm dữ liệu nhận dạng khuôn mặt từ FaceID và tin nhắn SMS. Đáng chú ý, thông tin này sau đó có thể được sử dụng để truy cập và rút tiền từ tài khoản ngân hàng hoặc các ứng dụng tài chính khác. Hơn nữa, dữ liệu sinh trắc học cũng có thể bị lợi dụng để tạo ra deepfake, một hình thức giả mạo thông tin cá nhân.

Mặc dù hệ sinh thái ứng dụng của Apple trên iOS được cho là an toàn hơn so với Android, hacker vẫn đã tìm ra cách để phát tán GoldDigger. Họ sử dụng nền tảng TestFlight của Apple, nơi mà các nhà phát triển có thể thử nghiệm ứng dụng trước khi đưa lên App Store. Điều này tạo điều kiện cho hacker để gửi các liên kết độc hại tới người dùng iPhone, rủ họ tham gia thử nghiệm ứng dụng.

Sau khi Apple phát hiện và loại bỏ GoldDigger khỏi TestFlight, hacker đã chuyển sang sử dụng phương pháp nâng cao hơn bằng cách liên quan đến cấu hình MDM (Mobile Device Management). Điều này là một cách để quản lý thiết bị di động, thường được sử dụng trong môi trường doanh nghiệp. Group-IB, một công ty an ninh mạng, đã cảnh báo Apple về vấn đề này.

GoldDigger được phát triển bởi một hacker có tên là GoldFactory, và các biến thể như GoldDiggerPlus tiếp tục được phát triển, cho phép kẻ tấn công thậm chí còn có thể gọi trực tiếp cho nạn nhân trên thiết bị bị nhiễm trojan. Group-IB tin rằng các trojan như GoldDigger hay GoldPickaxe sẽ còn tiếp tục xuất hiện và phát triển trong tương lai.

Để bảo vệ thiết bị iOS của mình, người dùng cần cẩn trọng khi cài đặt ứng dụng từ các nguồn không tin cậy, và hạn chế tải ứng dụng qua TestFlight nếu không cần thiết, vì nền tảng này không được kiểm duyệt chặt chẽ như App Store.