GoldPickaxe Banking Trojan
Ένας εξελιγμένος παράγοντας απειλών, γνωστός ως GoldFactory, που μιλάει άπταιστα κινέζικα, έχει αναγνωριστεί ως ο δημιουργός προηγμένων τραπεζικών Trojans. Μία από τις πιο πρόσφατες δημιουργίες τους είναι ένα μη τεκμηριωμένο κακόβουλο λογισμικό iOS με το όνομα GoldPickaxe, το οποίο είναι ικανό να συλλέγει έγγραφα ταυτότητας και δεδομένα αναγνώρισης προσώπου και να παρακολουθεί SMS.
Οι ερευνητές έχουν επαληθεύσει ότι η οικογένεια GoldPickaxe στοχεύει τόσο σε πλατφόρμες iOS όσο και σε Android. Η ομάδα κυβερνοεγκλήματος GoldFactory που πιστεύεται ότι είναι καλά οργανωμένη και μιλάει κινεζικά, συνδέεται στενά με την Gigabud.
Λειτουργώντας τουλάχιστον από τα μέσα του 2023, το GoldFactory είναι υπεύθυνο για την ανάπτυξη του τραπεζικού κακόβουλου λογισμικού που βασίζεται σε Android GoldDigger, μαζί με την βελτιωμένη παραλλαγή του GoldDiggerPlus. Επιπλέον, έχουν δημιουργήσει το GoldKefu, ένα ενσωματωμένο Trojan στο GoldDiggerPlus.
Πίνακας περιεχομένων
Οι επιτιθέμενοι χρησιμοποιούν διάφορες τεχνικές phishing για να αναπτύξουν το GoldPickaxe
Έχουν εντοπιστεί απειλητικές εκστρατείες κοινωνικής μηχανικής που διαδίδουν κακόβουλο λογισμικό, με επίκεντρο την περιοχή Ασίας-Ειρηνικού, ιδιαίτερα την Ταϊλάνδη και το Βιετνάμ. Οι επιτιθέμενοι μεταμφιέζονται σε τοπικές τράπεζες και κυβερνητικές οντότητες.
Σε αυτές τις στοχευμένες επιθέσεις, τα άτομα λαμβάνουν παραπλανητικά μηνύματα smishing και phishing, που τους ωθεί να μετατοπίσουν τη συνομιλία σε εφαρμογές ανταλλαγής άμεσων μηνυμάτων, όπως το LINE. Στη συνέχεια, οι εισβολείς στέλνουν ψευδείς διευθύνσεις URL, οδηγώντας στην εγκατάσταση του GoldPickaxe στις συσκευές των θυμάτων.
Ορισμένες μη ασφαλείς εφαρμογές που έχουν σχεδιαστεί για Android φιλοξενούνται σε πλαστούς ιστότοπους, μιμούμενοι σελίδες του Google Play Store ή ψεύτικους εταιρικούς ιστότοπους, προκειμένου να πραγματοποιηθεί η διαδικασία εγκατάστασης με επιτυχία.
Νέες τακτικές που παρουσιάζονται από τους κυβερνοεγκληματίες του GoldFactory
Η μέθοδος διανομής του GoldPickaxe για iOS διαφέρει, χρησιμοποιώντας μια μοναδική προσέγγιση. Χρησιμοποιεί την πλατφόρμα TestFlight της Apple και χρησιμοποιεί διευθύνσεις URL που έχουν παγιδευτεί με εκρήξεις. Αυτές οι διευθύνσεις URL ενθαρρύνουν τους χρήστες να κατεβάσουν ένα προφίλ Διαχείρισης φορητών συσκευών (MDM), παρέχοντας πλήρη έλεγχο σε συσκευές iOS και διευκολύνοντας την εγκατάσταση της απατεώνων εφαρμογής. Και οι δύο αυτές τακτικές διανομής αποκαλύφθηκαν από τον Τραπεζικό Τομέα της Ταϊλάνδης CERT (TB-CERT) και το Γραφείο Διερεύνησης του Κυβερνοεγκλήματος (CCIB) τον Νοέμβριο του 2023.
Η πολυπλοκότητα του GoldPickaxe αποδεικνύεται περαιτέρω από την ικανότητά του να παρακάμπτει τα μέτρα ασφαλείας που επιβλήθηκαν στην Ταϊλάνδη. Αυτά τα μέτρα υποχρεώνουν τους χρήστες να επιβεβαιώνουν πιο σημαντικές συναλλαγές χρησιμοποιώντας την αναγνώριση προσώπου για την πρόληψη της απάτης. Το GoldPickaxe προτρέπει έξυπνα τα θύματα να εγγράψουν ένα βίντεο ως μέθοδο επιβεβαίωσης μέσα στην παραπλανητική εφαρμογή. Το εγγεγραμμένο βίντεο χρησιμεύει ως πρώτη ύλη για τη δημιουργία deepfake βίντεο μέσω υπηρεσιών τεχνητής νοημοσύνης που εναλλάσσουν πρόσωπα.
Επιπλέον, τόσο οι παραλλαγές Android όσο και iOS του κακόβουλου λογισμικού διαθέτουν τη δυνατότητα συλλογής εγγράφων ταυτότητας και φωτογραφιών του θύματος, υποκλοπής εισερχόμενων μηνυμάτων SMS και δρομολόγησης της κυκλοφορίας μέσω της παραβιασμένης συσκευής. Υπάρχει υποψία ότι οι παράγοντες του GoldFactory χρησιμοποιούν τις δικές τους συσκευές για να συνδεθούν σε τραπεζικές εφαρμογές και να εκτελέσουν μη εξουσιοδοτημένες μεταφορές κεφαλαίων.
Διαφορές μεταξύ των εκδόσεων iOS και Android GoldPickaxe
Η έκδοση iOS του GoldPickaxe επιδεικνύει λιγότερες λειτουργίες σε σύγκριση με την αντίστοιχη Android. Αυτή η απόκλιση αποδίδεται στον κλειστό χαρακτήρα του λειτουργικού συστήματος iOS και στα σχετικά αυστηρά πρωτόκολλα αδειών του.
Η παραλλαγή Android, που θεωρείται εξελικτικός διάδοχος του GoldDiggerPlus, μεταμφιέζεται σε περισσότερες από 20 διαφορετικές εφαρμογές που σχετίζονται με την κυβέρνηση, τον χρηματοοικονομικό τομέα και τις εταιρείες κοινής ωφέλειας της Ταϊλάνδης. Ο πρωταρχικός του στόχος είναι να κλέβει τα διαπιστευτήρια σύνδεσης από αυτές τις υπηρεσίες. Ωστόσο, οι ακριβείς προθέσεις των παραγόντων απειλών με αυτές τις πληροφορίες που συγκεντρώθηκαν παραμένουν ασαφείς.
Ένα άλλο αξιοσημείωτο χαρακτηριστικό του κακόβουλου λογισμικού είναι η εκμετάλλευση των υπηρεσιών προσβασιμότητας του Android για την εγγραφή πληκτρολογήσεων και την καταγραφή περιεχομένου στην οθόνη.
