GoldDigger, il trojan Android che ti svuota il conto corrente bancario

I ricercatori di sicurezza hanno scoperto un nuovo e prolifico trojan horse virus Android, progettato per raccogliere segretamente informazioni sugli utenti, comprese le credenziali delle app bancarie.

L’agente malevolo, soprannominato da Group-IB con il nome GoldDigger, sarebbe attivo almeno da giugno 2023 e risulta attivo su 50 app bancarie e wallet di criptovalute.

Sebbene l’infezione sembra essere particolarmente diffusa tra gli utenti del Vietnam, lo stesso si presenta anche con altre lingue, suggerendo come i cybercriminali abbiano intenzione di espandersi nel resto dell’Asia, in Europa e in Sud America.

Per Anh Le, responsabile dello sviluppo aziendale di Group-IB in Vietnam “Al momento GoldDigger si sta concentrando principalmente su obiettivi in Vietnam. Tuttavia, il team Threat Intelligence di Group-IB ha scoperto che, oltre al vietnamita, il malware include traduzioni linguistiche in spagnolo e cinese tradizionale“.

Secondo le ricostruzioni degli esperti, il trojan si diffonderebbe attraverso una campagna di e-mail phishing, attraverso cui viene diffuso un link a una pagina Google Play contraffatta. Qui, la vittima viene spinta al download di un’app Android spacciata come governativa o comunque affidabile. L’installazione del software, come prevedibile, attiva il malware che prende possesso del device.

Il trojan GoldDigger prende di mira conti correnti e wallet crittografici

Una volta installato, GoldDigger richiede l’accesso al servizio di accessibilità Android. Ciò consente all’agente malevolo di monitorare e manipolare le funzioni del dispositivo. In tal modo, il trojan è in grado di rubare informazioni sensibili, comprese le password delle app bancarie, nonché di intercettare messaggi SMS.

Gli sviluppatori di malware utilizzano anche uno strumento legittimo di offuscamento, ovvero Virbox Protector, per rendere più difficile l’analisi della minaccia. Ciò potrebbe rendere GoldDigger ancora più pericoloso, nel caso i cybercriminali intendano andare a colpire obiettivi a livello mondiale.

Group-IB ha esortato gli utenti ad aggiornare i sistemi operativi dei dispositivi mobile e ad evitare di scaricare applicazioni da fonti esterne rispetto a Google Play Store. Inoltre, come da prassi, gli esperti consigliano sempre di verificare le autorizzazioni richieste un’applicazione una volta scaricata e installata.