GoldPickaxe Banking Trojan
En sofistikeret trusselsaktør kendt som GoldFactory, der taler flydende kinesisk, er blevet identificeret som skaberen af avancerede banktrojanske heste. En af deres seneste kreationer er en udokumenteret iOS-malware ved navn GoldPickaxe, som er i stand til at høste identitetsdokumenter og ansigtsgenkendelsesdata og opsnappe SMS.
Forskere har bekræftet, at GoldPickaxe-familien er rettet mod både iOS- og Android-platforme. GoldFactory-cyberkriminalitetsgruppen, der menes at være velorganiseret og kinesisktalende, er tæt knyttet til Gigabud.
GoldFactory, der har fungeret siden mindst midten af 2023, er ansvarlig for udviklingen af den Android-baserede bank-malware GoldDigger sammen med dens forbedrede variant GoldDiggerPlus. Derudover har de skabt GoldKefu, en indlejret trojan i GoldDiggerPlus.
Indholdsfortegnelse
Angribere bruger forskellige phishing-teknikker til at implementere GoldPickaxe
Truende social engineering-kampagner, der spreder malware, er blevet identificeret, med fokus på Asien-Stillehavsregionen, især Thailand og Vietnam. Angriberne forklæder sig som lokale banker og statslige enheder.
I disse målrettede angreb modtager enkeltpersoner vildledende smishing- og phishing-beskeder, der får dem til at flytte samtalen til instant messaging-apps såsom LINE. Efterfølgende sender angriberne falske URL'er, hvilket fører til installation af GoldPickaxe på ofrenes enheder.
Visse usikre applikationer designet til Android hostes på falske websteder, der efterligner Google Play Butiks sider eller falske virksomhedswebsteder, for at udføre installationsprocessen med succes.
Ny taktik vist af GoldFactory-cyberkriminelle
GoldPickaxes distributionsmetode til iOS adskiller sig ved at anvende en unik tilgang. Den bruger Apples TestFlight-platform og anvender booby-fangede URL'er. Disse URL'er opfordrer brugere til at downloade en MDM-profil (Mobile Device Management), hvilket giver fuld kontrol over iOS-enheder og letter installationen af den useriøse app. Begge disse distributionstaktikker blev afsløret af Thailand Banking Sector CERT (TB-CERT) og Cyber Crime Investigation Bureau (CCIB) i november 2023.
Det sofistikerede ved GoldPickaxe er yderligere demonstreret ved dets evne til at omgå sikkerhedsforanstaltninger pålagt i Thailand. Disse foranstaltninger giver brugerne mandat til at bekræfte mere væsentlige transaktioner ved hjælp af ansigtsgenkendelse for at forhindre svindel. GoldPickaxe tilskynder genialt ofrene til at optage en video som en bekræftelsesmetode i den vildledende applikation. Den optagede video tjener som råmateriale til at lave deepfake-videoer gennem ansigtsbytte kunstig intelligens-tjenester.
Desuden har både Android- og iOS-varianterne af malwaren evnen til at indsamle ofrets ID-dokumenter og fotos, opsnappe indgående SMS-beskeder og dirigere trafik gennem den kompromitterede enhed. Der er mistanke om, at GoldFactory-aktørerne bruger deres egne enheder til at logge ind på bankapplikationer og udføre uautoriserede pengeoverførsler.
Forskelle mellem iOS- og Android GoldPickaxe-versionerne
iOS-versionen af GoldPickaxe demonstrerer færre funktionaliteter sammenlignet med sin Android-modstykke. Denne uoverensstemmelse tilskrives den lukkede karakter af iOS-operativsystemet og dets relativt strenge tilladelsesprotokoller.
Android-varianten, der ses som en evolutionær efterfølger til GoldDiggerPlus, forklæder sig som over 20 forskellige applikationer forbundet med Thailands regering, finanssektor og forsyningsselskaber. Dets primære mål er at stjæle loginoplysninger fra disse tjenester. De præcise intentioner hos trusselsaktørerne med denne indsamlede information er dog stadig uklare.
Et andet bemærkelsesværdigt kendetegn ved malwaren er dens udnyttelse af Androids tilgængelighedstjenester til at optage tastetryk og fange indhold på skærmen.
