GoldPickaxe panganduse troojalane
Kõrgetasemeliste pangandustroojalaste loojaks on peetud keerukat ohutegijat, keda tuntakse GoldFactory nime all ja oskab vabalt hiina keelt. Üks nende uusimaid loominguid on dokumentideta iOS-i pahavara nimega GoldPickaxe, mis on võimeline koguma isikut tõendavaid dokumente ja näotuvastusandmeid ning pealtkuulama SMS-e.
Teadlased on kinnitanud, et GoldPickaxe'i perekond sihib nii iOS-i kui ka Androidi platvorme. Arvatakse, et GoldFactory küberkuritegevuse rühmitus on hästi organiseeritud ja räägib hiina keelt, on Gigabudiga tihedalt seotud.
Vähemalt alates 2023. aasta keskpaigast tegutsenud GoldFactory vastutab Android-põhise panganduse pahavara GoldDigger arendamise eest koos selle täiustatud variandiga GoldDiggerPlus. Lisaks on nad loonud GoldDiggerPlusi manustatud troojalase GoldKefu.
Sisukord
Ründajad kasutavad GoldPickaxe juurutamiseks erinevaid andmepüügitehnikaid
Tuvastati ähvardavad sotsiaalse manipuleerimise kampaaniad, mis levitavad pahavara, keskendudes Aasia ja Vaikse ookeani piirkonnale, eriti Taile ja Vietnamile. Ründajad maskeerivad end kohalikeks pankadeks ja valitsusasutusteks.
Nende sihitud rünnakute korral saavad üksikisikud petlikke sikutamis- ja andmepüügisõnumeid, mis sunnivad neid suunama vestlust kiirsuhtlusrakendustele, nagu LINE. Seejärel saadavad ründajad petturlikke URL-e, mis viivad GoldPickaxe'i installimiseni ohvrite seadmetesse.
Teatud Androidile mõeldud ohtlikke rakendusi majutatakse võltsitud veebisaitidel, mis jäljendavad Google Play poe lehti või võltsitud ettevõtte saite, et installiprotsess edukalt läbi viia.
GoldFactory küberkurjategijate uus taktika
GoldPickaxe'i iOS-i levitamismeetod erineb, kasutades ainulaadset lähenemisviisi. See kasutab Apple'i TestFlighti platvormi ja kasutab varjatud URL-e. Need URL-id julgustavad kasutajaid alla laadima mobiilseadmete halduse (MDM) profiili, mis annab täieliku kontrolli iOS-i seadmete üle ja hõlbustab võltsrakenduse installimist. Mõlemad levitamistaktikad avalikustasid Tai pangandussektori CERT (TB-CERT) ja küberkuritegevuse uurimise büroo (CCIB) 2023. aasta novembris.
GoldPickaxe keerukust näitab veelgi selle võime Tais kehtestatud turvameetmetest mööda hiilida. Need meetmed kohustavad kasutajaid kinnitama suuremaid tehinguid, kasutades pettuste vältimiseks näotuvastust. GoldPickaxe kutsub ohvreid leidlikult üles salvestama petliku rakenduse kinnitusmeetodina video. Salvestatud video on toorainena sügavvõltsitud videote loomiseks nägu vahetavate tehisintellektiteenuste kaudu.
Lisaks on pahavara nii Androidi kui ka iOS-i versioonidel võimalus koguda ohvri isikut tõendavaid dokumente ja fotosid, pealt kuulata sissetulevaid SMS-sõnumeid ning suunata liiklust läbi ohustatud seadme. Kahtlustatakse, et GoldFactory näitlejad kasutavad pangarakendustesse sisselogimiseks ja volitamata rahaülekannete tegemiseks oma seadmeid.
Erinevused iOS-i ja Androidi GoldPickaxe versioonide vahel
GoldPickaxe iOS-i versioon demonstreerib vähem funktsioone kui selle Androidi vaste. See lahknevus on tingitud iOS-i operatsioonisüsteemi suletud olemusest ja selle suhteliselt rangetest lubade protokollidest.
Androidi variant, mida peetakse GoldDiggerPlusi evolutsiooniliseks järglaseks, maskeerib end enam kui 20 erineva rakendusena, mis on seotud Tai valitsuse, finantssektori ja kommunaalettevõtetega. Selle esmane eesmärk on nende teenuste sisselogimismandaatide varastamine. Selle kogutud teabega ohustajate täpsed kavatsused jäävad aga ebaselgeks.
Veel üks märkimisväärne pahavara omadus on Androidi juurdepääsetavuse teenuste ärakasutamine klahvivajutuste salvestamiseks ja ekraanil kuvatava sisu jäädvustamiseks.
