GoldPickaxe Banking Trojan

שחקן איום מתוחכם הידוע בשם GoldFactory, השולט בסינית, זוהה כיוצרם של סוסים טרויאניים בנקאיים מתקדמים. אחת היצירות האחרונות שלהם היא תוכנה זדונית לא מתועדת של iOS בשם GoldPickaxe, המסוגלת לאסוף מסמכי זהות ונתוני זיהוי פנים וליירוט SMS.

חוקרים אימתו שמשפחת GoldPickaxe מכוונת הן לפלטפורמות iOS והן לפלטפורמות אנדרואיד. קבוצת פשע הסייבר של GoldFactory מאורגנת היטב ודוברת סינית, קשורה קשר הדוק ל- Gigabud.

פועלת לפחות מאמצע 2023, GoldFactory אחראית לפיתוח תוכנת הזדונית הבנקאית המבוססת על אנדרואיד GoldDigger, יחד עם הגרסה המשופרת שלה GoldDiggerPlus. בנוסף, הם יצרו את GoldKefu, טרויאני משובץ בתוך GoldDiggerPlus.

תוקפים משתמשים בטכניקות דיוג שונות כדי לפרוס את GoldPickaxe

זוהו קמפיינים מאיימים של הנדסה חברתית המפיצים תוכנות זדוניות, תוך התמקדות באזור אסיה-פסיפיק, במיוחד בתאילנד ווייטנאם. התוקפים מתחפשים לבנקים מקומיים ולגופים ממשלתיים.

בהתקפות ממוקדות אלו, אנשים מקבלים הודעות סמישינג ודיוג מטעות, המניעות אותם להעביר את השיחה לאפליקציות הודעות מיידיות כגון LINE. לאחר מכן, התוקפים שולחים כתובות URL מזויפות, מה שמוביל להתקנת GoldPickaxe במכשירים של הקורבנות.

יישומים מסויימים לא בטוחים המיועדים לאנדרואיד מתארחים באתרי אינטרנט מזויפים, מחקים דפי חנות Google Play או אתרים ארגוניים מזויפים, כדי לבצע את תהליך ההתקנה בהצלחה.

טקטיקות חדשות שהוצגו על ידי פושעי הסייבר של GoldFactory

שיטת ההפצה של GoldPickaxe עבור iOS שונה, תוך שימוש בגישה ייחודית. הוא משתמש בפלטפורמת TestFlight של אפל ומשתמש בכתובות URL מלכודות. כתובות URL אלו מעודדות משתמשים להוריד פרופיל ניהול מכשירים ניידים (MDM), המעניקים שליטה מלאה על מכשירי iOS ומקלים על התקנת האפליקציה הנוכלית. שתי טקטיקות ההפצה הללו נחשפו על ידי CERT של מגזר הבנקאות בתאילנד (TB-CERT) והלשכה לחקירת פשעי סייבר (CCIB) בנובמבר 2023.

התחכום של GoldPickaxe מודגם עוד יותר ביכולתה לעקוף את אמצעי האבטחה שהוטלו בתאילנד. אמצעים אלה מחייבים את המשתמשים לאשר עסקאות משמעותיות יותר באמצעות זיהוי פנים כדי למנוע הונאה. GoldPickaxe מנחה את הקורבנות בצורה גאונית להקליט סרטון כשיטת אישור בתוך האפליקציה המטעה. הסרטון המוקלט משמש כחומר גלם ליצירת סרטונים מזויפים עמוקים באמצעות שירותי בינה מלאכותית להחלפת פנים.

יתרה מכך, גם גרסאות האנדרואיד וגם ה-iOS של התוכנה הזדונית בעלות את היכולת לאסוף את מסמכי הזיהוי והתמונות של הקורבן, ליירט הודעות SMS נכנסות ולנתב תנועה דרך המכשיר שנפרץ. קיים חשד ששחקני GoldFactory משתמשים במכשירים שלהם כדי להיכנס ליישומי בנק ולבצע העברות כספים לא מורשות.

הבדלים בין גרסאות iOS ו- Android GoldPickaxe

גרסת iOS של GoldPickaxe מפגינה פחות פונקציונליות בהשוואה למקבילתה לאנדרואיד. אי התאמה זו מיוחסת לאופי הסגור של מערכת ההפעלה iOS ולפרוטוקולי ההרשאה המחמירים יחסית שלה.

גרסת האנדרואיד, הנראית כיורשת האבולוציונית של GoldDiggerPlus, מתחפשת ליותר מ-20 יישומים שונים הקשורים לממשלת תאילנד, למגזר הפיננסי ולחברות שירות. המטרה העיקרית שלו היא לגנוב אישורי כניסה משירותים אלה. עם זאת, הכוונות המדויקות של גורמי האיום עם המידע שנאסף עדיין לא ברורות.

עוד מאפיין ראוי לציון של התוכנה הזדונית הוא ניצול שירותי הנגישות של אנדרואיד כדי להקליט הקשות וללכוד תוכן על המסך.