Bankovní Trojan GoldPickaxe
Za tvůrce pokročilých bankovních trojských koní byl identifikován sofistikovaný aktér hrozeb známý jako GoldFactory, který plynně ovládá čínštinu. Jedním z jejich nejnovějších výtvorů je nedokumentovaný malware pro iOS s názvem GoldPickaxe, který je schopen sklízet doklady totožnosti a data rozpoznávání obličeje a zachycovat SMS.
Vědci ověřili, že rodina GoldPickaxe cílí na platformy iOS i Android. Skupina GoldFactory zabývající se kyberzločinem, o níž se předpokládá, že je dobře organizovaná a mluví čínsky, je úzce propojena s Gigabud.
GoldFactory, která funguje minimálně od poloviny roku 2023, je zodpovědná za vývoj bankovního malwaru GoldDigger založeného na Androidu spolu s jeho vylepšenou variantou GoldDiggerPlus. Navíc vytvořili GoldKefu, vložený trojský kůň v GoldDiggerPlus.
Obsah
Útočníci využívají k nasazení GoldPickaxe různé techniky phishingu
Byly identifikovány ohrožující kampaně sociálního inženýrství šířící malware se zaměřením na asijsko-pacifický region, zejména Thajsko a Vietnam. Útočníci se maskují za místní banky a vládní subjekty.
V těchto cílených útocích jednotlivci dostávají klamavé smishingové a phishingové zprávy, které je vybízejí, aby přesunuli konverzaci do aplikací pro rychlé zasílání zpráv, jako je LINE. Následně útočníci posílají podvodné URL, což vede k instalaci GoldPickaxe na zařízení obětí.
Některé nebezpečné aplikace navržené pro Android jsou hostovány na padělaných webech, které napodobují stránky Obchodu Google Play nebo falešné firemní weby, aby proces instalace úspěšně proběhl.
Nová taktika kyberzločinců z GoldFactory
Distribuční metoda GoldPickaxe pro iOS se liší a využívá jedinečný přístup. Využívá platformu Apple TestFlight a využívá nastražené adresy URL. Tyto adresy URL vybízejí uživatele ke stažení profilu správy mobilních zařízení (MDM), který poskytuje úplnou kontrolu nad zařízeními iOS a usnadňuje instalaci nepoctivé aplikace. Obě tyto distribuční taktiky byly odhaleny Thajským bankovním sektorem CERT (TB-CERT) a Úřadem pro vyšetřování kybernetické kriminality (CCIB) v listopadu 2023.
Sofistikovanost GoldPickaxe dále demonstruje její schopnost obejít bezpečnostní opatření uložená v Thajsku. Tato opatření nařizují uživatelům potvrzovat významnější transakce pomocí rozpoznávání obličeje, aby se zabránilo podvodům. GoldPickaxe důmyslně vyzývá oběti, aby nahrály video jako potvrzovací metodu v klamavé aplikaci. Nahrané video slouží jako surový materiál pro vytváření deepfake videí prostřednictvím služeb umělé inteligence pro výměnu obličejů.
Kromě toho obě varianty malwaru pro Android i iOS disponují schopností shromažďovat doklady totožnosti a fotografie oběti, zachycovat příchozí SMS zprávy a směrovat provoz přes napadené zařízení. Existuje podezření, že aktéři GoldFactory používají svá vlastní zařízení k přihlašování do bankovních aplikací a provádění neoprávněných převodů prostředků.
Rozdíly mezi verzemi iOS a Android GoldPickaxe
Verze GoldPickaxe pro iOS vykazuje méně funkcí ve srovnání s jejím protějškem Android. Tento rozpor je připisován uzavřenosti operačního systému iOS a jeho poměrně přísným protokolům oprávnění.
Varianta Androidu, která je považována za evolučního nástupce GoldDiggerPlus, se maskuje jako více než 20 různých aplikací spojených s thajskou vládou, finančním sektorem a energetickými společnostmi. Jeho primárním cílem je ukrást přihlašovací údaje z těchto služeb. Přesné záměry aktérů hrozeb s těmito shromážděnými informacemi však zůstávají nejasné.
Další pozoruhodnou charakteristikou malwaru je jeho využívání služeb přístupnosti systému Android k záznamu stisku kláves a zachycení obsahu na obrazovce.
