GoldPickaxe Banking Troijalainen
Hienostunut uhkatoimija, GoldFactory, joka puhuu sujuvasti kiinaa, on tunnistettu kehittyneiden pankkitroijalaisten luojaksi. Yksi heidän uusimmista luomuksistaan on dokumentoimaton iOS-haittaohjelma nimeltä GoldPickaxe, joka pystyy keräämään henkilöllisyystodistuksia ja kasvojentunnistustietoja sekä sieppaamaan tekstiviestejä.
Tutkijat ovat vahvistaneet, että GoldPickaxe-perhe on kohdistettu sekä iOS- että Android-alustoille. GoldFactory-verkkorikollisryhmä, jonka uskotaan olevan hyvin organisoitunut ja kiinaa puhuva, liittyy läheisesti Gigabudiin.
Ainakin vuoden 2023 puolivälistä lähtien toiminut GoldFactory on vastuussa Android-pohjaisen GoldDigger- pankkihaittaohjelman sekä sen parannetun GoldDiggerPlus-version kehittämisestä. Lisäksi he ovat luoneet GoldKefun, sulautetun troijalaisen GoldDiggerPlusissa.
Sisällysluettelo
Hyökkääjät käyttävät erilaisia tietojenkalastelutekniikoita GoldPickaxen käyttöönotossa
Haittaohjelmia levittäviä uhkaavia sosiaalisen manipuloinnin kampanjoita on tunnistettu Aasian ja Tyynenmeren alueella, erityisesti Thaimaassa ja Vietnamissa. Hyökkääjät naamioituvat paikallisiksi pankeiksi ja viranomaisiksi.
Näissä kohdistetuissa hyökkäyksissä henkilöt saavat petollisia huijaus- ja tietojenkalasteluviestejä, jotka saavat heidät siirtämään keskustelun pikaviestisovelluksiin, kuten LINE. Myöhemmin hyökkääjät lähettävät vilpillisiä URL-osoitteita, jotka johtavat GoldPickaxen asentamiseen uhrien laitteisiin.
Tiettyjä Androidille suunniteltuja vaarallisia sovelluksia isännöidään väärennetyillä verkkosivustoilla, jotka jäljittelevät Google Play Kaupan sivuja tai väärennettyjä yrityssivustoja, jotta asennus voidaan suorittaa onnistuneesti.
GoldFactory Cybercriminalsin esittämiä uusia taktiikoita
GoldPickaxen jakelumenetelmä iOS:lle eroaa ainutlaatuisesta lähestymistavasta. Se hyödyntää Applen TestFlight-alustaa ja käyttää salaperäisiä URL-osoitteita. Nämä URL-osoitteet rohkaisevat käyttäjiä lataamaan Mobile Device Management (MDM) -profiilin, mikä antaa täydellisen hallinnan iOS-laitteisiin ja helpottaa petollisen sovelluksen asennusta. Thaimaan pankkisektorin CERT (TB-CERT) ja Cyber Crime Investigation Bureau (CCIB) paljastivat molemmat jakelutaktiikat marraskuussa 2023.
GoldPickaxen hienostuneisuutta osoittaa edelleen sen kyky kiertää Thaimaassa määrätyt turvatoimenpiteet. Nämä toimenpiteet velvoittavat käyttäjät vahvistamaan merkittävät tapahtumat kasvojentunnistuksen avulla petosten estämiseksi. GoldPickaxe kehottaa nerokkaasti uhreja tallentamaan videon vahvistusmenetelmänä petollisen sovelluksen sisällä. Tallennettu video toimii raaka-aineena syväfake-videoiden tekemiseen kasvoja vaihtavien tekoälypalvelujen avulla.
Lisäksi haittaohjelman sekä Android- että iOS-versioilla on kyky kerätä uhrin henkilöllisyystodistukset ja valokuvat, siepata saapuvat tekstiviestit ja reitittää liikennettä vaarantuneen laitteen läpi. Epäillään, että GoldFactory-toimijat käyttävät omia laitteitaan kirjautuakseen sisään pankkisovelluksiin ja suorittaakseen luvattomia rahansiirtoja.
Erot iOS- ja Android GoldPickaxe -versioiden välillä
GoldPickaxen iOS-versiossa on vähemmän toimintoja verrattuna Android-vastineeseen. Tämä ero johtuu iOS-käyttöjärjestelmän suljetusta luonteesta ja sen suhteellisen tiukoista lupaprotokollista.
Android-versio, jota pidetään GoldDiggerPlusin evolutiivisena seuraajana, naamioituu yli 20 erilaiseksi sovellukseksi, jotka liittyvät Thaimaan hallitukseen, rahoitussektoriin ja sähköyhtiöihin. Sen ensisijainen tavoite on varastaa kirjautumistiedot näistä palveluista. Tämän kerätyn tiedon uhkatoimijoiden tarkat aikomukset ovat kuitenkin epäselviä.
Toinen haittaohjelman huomionarvoinen ominaisuus on se, että se hyödyntää Androidin esteettömyyspalveluita näppäinpainallusten tallentamiseen ja näytön sisällön kaappaamiseen.
