Troià bancari GoldPickaxe
Un sofisticat actor d'amenaces conegut com GoldFactory, que domina el xinès, ha estat identificat com el creador de troians bancaris avançats. Una de les seves últimes creacions és un programari maliciós per a iOS no documentat anomenat GoldPickaxe, que és capaç de recollir documents d'identitat i dades de reconeixement facial i interceptar SMS.
Els investigadors han verificat que la família GoldPickaxe s'adreça tant a les plataformes iOS com a Android. El grup de ciberdelinqüència GoldFactory que es creu que està ben organitzat i que parla xinès, està estretament vinculat a Gigabud.
Operant des d'almenys a mitjans de 2023, GoldFactory és responsable del desenvolupament del programari maliciós bancari basat en Android GoldDigger, juntament amb la seva variant millorada GoldDiggerPlus. A més, han creat GoldKefu, un troià incrustat a GoldDiggerPlus.
Taula de continguts
Els atacants utilitzen diverses tècniques de pesca per desplegar GoldPickaxe
S'han identificat campanyes d'enginyeria social amenaçadores que difonen programari maliciós, centrades a la regió Àsia-Pacífic, especialment Tailàndia i Vietnam. Els atacants es disfressen de bancs locals i entitats governamentals.
En aquests atacs dirigits, els individus reben missatges enganyosos de smishing i phishing, cosa que els demana que canviïn la conversa a aplicacions de missatgeria instantània com LINE. Posteriorment, els atacants envien URL fraudulentes, la qual cosa condueix a la instal·lació de GoldPickaxe als dispositius de les víctimes.
Algunes aplicacions insegures dissenyades per a Android s'allotgen en llocs web falsificats, imitant pàgines de Google Play Store o llocs corporatius falsos, per dur a terme el procés d'instal·lació amb èxit.
Noves tàctiques mostrades pels cibercriminals de GoldFactory
El mètode de distribució de GoldPickaxe per a iOS és diferent, utilitzant un enfocament únic. Utilitza la plataforma TestFlight d'Apple i utilitza URL amb trampes. Aquests URL animen els usuaris a baixar un perfil de gestió de dispositius mòbils (MDM), atorgant un control complet sobre els dispositius iOS i facilitant la instal·lació de l'aplicació fraudulenta. Ambdues tàctiques de distribució van ser revelades pel CERT del sector bancari de Tailàndia (TB-CERT) i l'Oficina d'Investigació de Delictes Cibernètics (CCIB) el novembre de 2023.
La sofisticació de GoldPickaxe es demostra encara més per la seva capacitat per eludir les mesures de seguretat imposades a Tailàndia. Aquestes mesures obliguen els usuaris a confirmar transaccions més significatives mitjançant el reconeixement facial per prevenir el frau. GoldPickaxe demana de manera enginyosa a les víctimes que enregistrin un vídeo com a mètode de confirmació dins de l'aplicació enganyosa. El vídeo gravat serveix com a matèria primera per crear vídeos deepfake mitjançant serveis d'intel·ligència artificial d'intercanvi de cares.
A més, tant les variants d'Android com d'iOS del programari maliciós tenen la capacitat de reunir els documents d'identificació i les fotos de la víctima, interceptar els missatges SMS entrants i dirigir el trànsit a través del dispositiu compromès. Es sospita que els actors de GoldFactory utilitzen els seus propis dispositius per iniciar la sessió a les aplicacions bancàries i executar transferències de fons no autoritzades.
Diferències entre les versions d'iOS i Android GoldPickaxe
La versió iOS de GoldPickaxe demostra menys funcionalitats en comparació amb la seva contrapart d'Android. Aquesta discrepància s'atribueix a la naturalesa tancada del sistema operatiu iOS i als seus protocols de permís relativament estrictes.
La variant d'Android, vista com una successora evolutiva de GoldDiggerPlus, es disfressa de més de 20 aplicacions diferents associades al govern, el sector financer i les empreses de serveis públics de Tailàndia. El seu objectiu principal és robar les credencials d'inici de sessió d'aquests serveis. Tanmateix, les intencions exactes dels actors de l'amenaça amb aquesta informació recopilada encara no estan clares.
Una altra característica destacable del programari maliciós és l'explotació dels serveis d'accessibilitat d'Android per gravar les pulsacions de tecles i capturar contingut a la pantalla.
