تروجان بانکی GoldPickaxe
یک عامل تهدید پیچیده معروف به GoldFactory، که به زبان چینی مسلط است، به عنوان خالق تروجان های بانکی پیشرفته شناخته شده است. یکی از جدیدترین ساختههای آنها یک بدافزار غیرمستند iOS به نام GoldPickaxe است که قادر به جمعآوری اسناد هویتی و دادههای تشخیص چهره و رهگیری پیامکها است.
محققان تأیید کرده اند که خانواده GoldPickaxe هر دو پلتفرم iOS و Android را هدف قرار می دهد. گروه جرایم سایبری GoldFactory که گمان می رود به خوبی سازماندهی شده باشد و به زبان چینی صحبت می کند، ارتباط نزدیکی با Gigabud دارد.
GoldFactory که حداقل از اواسط سال 2023 فعالیت می کند، مسئولیت توسعه بدافزار بانکی مبتنی بر اندروید GoldDigger را به همراه نوع پیشرفته آن GoldDiggerPlus بر عهده دارد. علاوه بر این، آنها GoldKefu، یک تروجان جاسازی شده در GoldDiggerPlus ایجاد کرده اند.
فهرست مطالب
مهاجمان از تکنیک های مختلف فیشینگ برای استقرار GoldPickaxe استفاده می کنند
کمپینهای مهندسی اجتماعی تهدیدکنندهای برای انتشار بدافزار شناسایی شدهاند که بر منطقه آسیا و اقیانوسیه، به ویژه تایلند و ویتنام تمرکز دارند. مهاجمان خود را به عنوان بانک های محلی و نهادهای دولتی پنهان می کنند.
در این حملات هدفمند، افراد پیامهای فریبنده و فیشینگ را دریافت میکنند که از آنها میخواهد مکالمه را به برنامههای پیامرسانی فوری مانند LINE تغییر دهند. متعاقباً، مهاجمان URL های جعلی را ارسال می کنند که منجر به نصب GoldPickaxe بر روی دستگاه های قربانیان می شود.
برخی از برنامههای ناامن طراحیشده برای Android در وبسایتهای تقلبی، با تقلید از صفحات فروشگاه Google Play یا سایتهای شرکتی جعلی میزبانی میشوند تا فرآیند نصب را با موفقیت انجام دهند.
تاکتیک های جدید نمایش داده شده توسط مجرمان سایبری GoldFactory
روش توزیع GoldPickaxe برای iOS متفاوت است و از یک رویکرد منحصر به فرد استفاده می کند. از پلتفرم TestFlight اپل استفاده میکند و از URLهای به دام افتاده استفاده میکند. این نشانیهای اینترنتی کاربران را تشویق میکنند تا نمایه مدیریت دستگاه تلفن همراه (MDM) را دانلود کنند و کنترل کاملی بر دستگاههای iOS اعطا میکنند و نصب برنامه سرکش را تسهیل میکنند. هر دو این تاکتیک های توزیع توسط بخش بانکی تایلند CERT (TB-CERT) و اداره تحقیقات جرایم سایبری (CCIB) در نوامبر 2023 فاش شدند.
پیچیدگی GoldPickaxe با توانایی آن در دور زدن اقدامات امنیتی اعمال شده در تایلند بیشتر نشان داده می شود. این اقدامات کاربران را موظف می کند تا تراکنش های مهم تری را با استفاده از تشخیص چهره برای جلوگیری از کلاهبرداری تایید کنند. GoldPickaxe به طرز هوشمندانه ای قربانیان را به ضبط ویدئو به عنوان یک روش تایید در برنامه فریبنده ترغیب می کند. ویدئوی ضبطشده بهعنوان ماده خام برای ساخت ویدیوهای دیپفیک از طریق سرویسهای هوش مصنوعی تعویض چهره عمل میکند.
علاوه بر این، هر دو نوع اندروید و iOS این بدافزار دارای قابلیت جمعآوری اسناد و عکسهای شناسایی قربانی، رهگیری پیامهای SMS دریافتی و مسیریابی ترافیک از طریق دستگاه آسیبدیده هستند. این ظن وجود دارد که بازیگران GoldFactory از دستگاه های خود برای ورود به برنامه های بانکی و انجام نقل و انتقالات غیرمجاز وجوه استفاده می کنند.
تفاوت بین iOS و Android نسخه GoldPickaxe
نسخه iOS GoldPickaxe عملکردهای کمتری را در مقایسه با نسخه اندرویدی خود نشان می دهد. این اختلاف به ماهیت بسته بودن سیستم عامل iOS و پروتکل های مجوز نسبتاً دقیق آن نسبت داده می شود.
نوع اندروید که به عنوان جانشین تکاملی GoldDiggerPlus دیده می شود، خود را به عنوان بیش از 20 برنامه مختلف مرتبط با دولت، بخش مالی و شرکت های خدماتی تایلند پنهان می کند. هدف اصلی آن به سرقت بردن اعتبار ورود به سیستم از این خدمات است. با این حال، نیات دقیق عوامل تهدید با این اطلاعات جمع آوری شده نامشخص است.
یکی دیگر از ویژگی های قابل توجه این بدافزار، بهره برداری آن از سرویس های دسترسی اندروید برای ضبط ضربه های کلید و ضبط محتوای روی صفحه است.