Банков троян GoldPickaxe
Сложен актьор, известен като GoldFactory, владеещ китайски, е идентифициран като създател на усъвършенствани банкови троянски коне. Едно от последните им творения е недокументиран зловреден софтуер за iOS, наречен GoldPickaxe, който е в състояние да събира документи за самоличност и данни за разпознаване на лица и да прихваща SMS.
Изследователите са потвърдили, че семейството GoldPickaxe е насочено както към iOS, така и към Android платформи. Киберпрестъпната група GoldFactory, за която се смята, че е добре организирана и говори китайски, е тясно свързана с Gigabud.
Работейки поне от средата на 2023 г., GoldFactory отговаря за разработването на базирания на Android банков злонамерен софтуер GoldDigger, заедно с неговия подобрен вариант GoldDiggerPlus. Освен това те създадоха GoldKefu, вграден троянски кон в GoldDiggerPlus.
Съдържание
Нападателите използват различни техники за фишинг, за да разположат GoldPickaxe
Идентифицирани са заплашителни кампании за социално инженерство, разпространяващи зловреден софтуер, фокусирани върху Азиатско-тихоокеанския регион, по-специално Тайланд и Виетнам. Нападателите се маскират като местни банки и правителствени организации.
При тези целенасочени атаки хората получават измамни smishing и phishing съобщения, което ги подтиква да прехвърлят разговора към приложения за незабавни съобщения като LINE. Впоследствие нападателите изпращат измамни URL адреси, което води до инсталирането на GoldPickaxe на устройствата на жертвите.
Някои опасни приложения, предназначени за Android, се хостват на фалшиви уебсайтове, имитиращи страници на Google Play Store или фалшиви корпоративни сайтове, за да извършат успешно инсталационния процес.
Нови тактики, показани от киберпрестъпниците на GoldFactory
Методът на разпространение на GoldPickaxe за iOS се различава, използвайки уникален подход. Той използва платформата TestFlight на Apple и използва URL адреси с капан. Тези URL адреси насърчават потребителите да изтеглят профил за управление на мобилни устройства (MDM), предоставяйки пълен контрол върху iOS устройства и улеснявайки инсталирането на измамното приложение. И двете тактики на разпространение бяха разкрити от Тайландския банков сектор CERT (TB-CERT) и Бюрото за разследване на киберпрестъпления (CCIB) през ноември 2023 г.
Сложността на GoldPickaxe се демонстрира допълнително от способността му да заобикаля мерките за сигурност, наложени в Тайланд. Тези мерки задължават потребителите да потвърждават по-значими транзакции, използвайки лицево разпознаване, за да предотвратят измами. GoldPickaxe гениално подканва жертвите да запишат видео като метод за потвърждение в рамките на измамното приложение. Записаният видеоклип служи като суровина за създаване на дълбоки фалшиви видеоклипове чрез услуги за изкуствен интелект за смяна на лица.
Освен това, както Android, така и iOS вариантите на злонамерения софтуер притежават способността да събират документите и снимките за самоличност на жертвата, да прихващат входящи SMS съобщения и да насочват трафика през компрометираното устройство. Има подозрение, че участниците в GoldFactory използват собствените си устройства, за да влизат в банкови приложения и да извършват неразрешени преводи на средства.
Разлики между версиите на GoldPickaxe за iOS и Android
Версията на GoldPickaxe за iOS демонстрира по-малко функционалности в сравнение със своя колега за Android. Това несъответствие се дължи на затворения характер на операционната система iOS и нейните относително строги протоколи за разрешения.
Вариантът на Android, разглеждан като еволюционен наследник на GoldDiggerPlus, се маскира като над 20 различни приложения, свързани с правителството, финансовия сектор и комуналните компании на Тайланд. Неговата основна цел е да открадне идентификационните данни за вход от тези услуги. Точните намерения на заплахите с тази събрана информация обаче остават неясни.
Друга забележителна характеристика на злонамерения софтуер е неговата експлоатация на услугите за достъпност на Android за записване на натискания на клавиши и заснемане на екранно съдържание.
