تروجان بانکی GoldPickaxe

یک عامل تهدید پیچیده معروف به GoldFactory، که به زبان چینی مسلط است، به عنوان خالق تروجان های بانکی پیشرفته شناخته شده است. یکی از جدیدترین ساخته‌های آن‌ها یک بدافزار غیرمستند iOS به نام GoldPickaxe است که قادر به جمع‌آوری اسناد هویتی و داده‌های تشخیص چهره و رهگیری پیامک‌ها است.

محققان تأیید کرده اند که خانواده GoldPickaxe هر دو پلتفرم iOS و Android را هدف قرار می دهد. گروه جرایم سایبری GoldFactory که گمان می رود به خوبی سازماندهی شده باشد و به زبان چینی صحبت می کند، ارتباط نزدیکی با Gigabud دارد.

GoldFactory که حداقل از اواسط سال 2023 فعالیت می کند، مسئولیت توسعه بدافزار بانکی مبتنی بر اندروید GoldDigger را به همراه نوع پیشرفته آن GoldDiggerPlus بر عهده دارد. علاوه بر این، آنها GoldKefu، یک تروجان جاسازی شده در GoldDiggerPlus ایجاد کرده اند.

مهاجمان از تکنیک های مختلف فیشینگ برای استقرار GoldPickaxe استفاده می کنند

کمپین‌های مهندسی اجتماعی تهدیدکننده‌ای برای انتشار بدافزار شناسایی شده‌اند که بر منطقه آسیا و اقیانوسیه، به ویژه تایلند و ویتنام تمرکز دارند. مهاجمان خود را به عنوان بانک های محلی و نهادهای دولتی پنهان می کنند.

در این حملات هدفمند، افراد پیام‌های فریبنده و فیشینگ را دریافت می‌کنند که از آنها می‌خواهد مکالمه را به برنامه‌های پیام‌رسانی فوری مانند LINE تغییر دهند. متعاقباً، مهاجمان URL های جعلی را ارسال می کنند که منجر به نصب GoldPickaxe بر روی دستگاه های قربانیان می شود.

برخی از برنامه‌های ناامن طراحی‌شده برای Android در وب‌سایت‌های تقلبی، با تقلید از صفحات فروشگاه Google Play یا سایت‌های شرکتی جعلی میزبانی می‌شوند تا فرآیند نصب را با موفقیت انجام دهند.

تاکتیک های جدید نمایش داده شده توسط مجرمان سایبری GoldFactory

روش توزیع GoldPickaxe برای iOS متفاوت است و از یک رویکرد منحصر به فرد استفاده می کند. از پلتفرم TestFlight اپل استفاده می‌کند و از URL‌های به دام افتاده استفاده می‌کند. این نشانی‌های اینترنتی کاربران را تشویق می‌کنند تا نمایه مدیریت دستگاه تلفن همراه (MDM) را دانلود کنند و کنترل کاملی بر دستگاه‌های iOS اعطا می‌کنند و نصب برنامه سرکش را تسهیل می‌کنند. هر دو این تاکتیک های توزیع توسط بخش بانکی تایلند CERT (TB-CERT) و اداره تحقیقات جرایم سایبری (CCIB) در نوامبر 2023 فاش شدند.

پیچیدگی GoldPickaxe با توانایی آن در دور زدن اقدامات امنیتی اعمال شده در تایلند بیشتر نشان داده می شود. این اقدامات کاربران را موظف می کند تا تراکنش های مهم تری را با استفاده از تشخیص چهره برای جلوگیری از کلاهبرداری تایید کنند. GoldPickaxe به طرز هوشمندانه ای قربانیان را به ضبط ویدئو به عنوان یک روش تایید در برنامه فریبنده ترغیب می کند. ویدئوی ضبط‌شده به‌عنوان ماده خام برای ساخت ویدیوهای دیپ‌فیک از طریق سرویس‌های هوش مصنوعی تعویض چهره عمل می‌کند.

علاوه بر این، هر دو نوع اندروید و iOS این بدافزار دارای قابلیت جمع‌آوری اسناد و عکس‌های شناسایی قربانی، رهگیری پیام‌های SMS دریافتی و مسیریابی ترافیک از طریق دستگاه آسیب‌دیده هستند. این ظن وجود دارد که بازیگران GoldFactory از دستگاه های خود برای ورود به برنامه های بانکی و انجام نقل و انتقالات غیرمجاز وجوه استفاده می کنند.

تفاوت بین iOS و Android نسخه GoldPickaxe

نسخه iOS GoldPickaxe عملکردهای کمتری را در مقایسه با نسخه اندرویدی خود نشان می دهد. این اختلاف به ماهیت بسته بودن سیستم عامل iOS و پروتکل های مجوز نسبتاً دقیق آن نسبت داده می شود.

نوع اندروید که به عنوان جانشین تکاملی GoldDiggerPlus دیده می شود، خود را به عنوان بیش از 20 برنامه مختلف مرتبط با دولت، بخش مالی و شرکت های خدماتی تایلند پنهان می کند. هدف اصلی آن به سرقت بردن اعتبار ورود به سیستم از این خدمات است. با این حال، نیات دقیق عوامل تهدید با این اطلاعات جمع آوری شده نامشخص است.

یکی دیگر از ویژگی های قابل توجه این بدافزار، بهره برداری آن از سرویس های دسترسی اندروید برای ضبط ضربه های کلید و ضبط محتوای روی صفحه است.