GoldPickaxe bankarski trojanac
Sofisticirani akter prijetnji poznat kao GoldFactory, koji tečno govori kineski, identificiran je kao tvorac naprednih bankarskih trojanaca. Jedna od njihovih najnovijih kreacija je nedokumentirani zlonamjerni softver za iOS nazvan GoldPickaxe, koji je sposoban prikupiti osobne dokumente i podatke o prepoznavanju lica te presresti SMS.
Istraživači su potvrdili da obitelj GoldPickaxe cilja i na iOS i na Android platforme. Grupa za kibernetički kriminal GoldFactory za koju se vjeruje da je dobro organizirana i govori kineski, usko je povezana s Gigabudom.
Poslujući najmanje od sredine 2023., GoldFactory je odgovoran za razvoj zlonamjernog softvera za bankarstvo GoldDigger koji se temelji na Androidu, zajedno s njegovom poboljšanom varijantom GoldDiggerPlus. Dodatno, stvorili su GoldKefu, trojanac ugrađen unutar GoldDiggerPlusa.
Sadržaj
Napadači koriste razne tehnike krađe identiteta za implementaciju GoldPickaxe
Identificirane su prijeteće kampanje društvenog inženjeringa koje šire zlonamjerni softver, s fokusom na azijsko-pacifičku regiju, posebice Tajland i Vijetnam. Napadači se maskiraju u lokalne banke i državna tijela.
U tim ciljanim napadima pojedinci primaju obmanjujuće smishing i phishing poruke, što ih navodi da prebace razgovor na aplikacije za razmjenu trenutnih poruka kao što je LINE. Nakon toga, napadači šalju lažne URL-ove, što dovodi do instaliranja GoldPickaxe na uređaje žrtava.
Određene nesigurne aplikacije dizajnirane za Android nalaze se na krivotvorenim web-mjestima, oponašajući stranice Trgovine Google Play ili lažne korporativne web-lokacije, kako bi se postupak instalacije uspješno proveo.
Nove taktike kibernetičkih kriminalaca GoldFactoryja
GoldPickaxeov način distribucije za iOS razlikuje se, koristeći jedinstven pristup. Koristi Appleovu platformu TestFlight i koristi URL-ove s minama. Ovi URL-ovi potiču korisnike na preuzimanje profila za upravljanje mobilnim uređajima (MDM), dajući potpunu kontrolu nad iOS uređajima i olakšavajući instalaciju lažne aplikacije. Obje ove distribucijske taktike otkrili su CERT tajlandskog bankarskog sektora (TB-CERT) i Ured za istraživanje kibernetičkog kriminala (CCIB) u studenom 2023.
Sofisticiranost GoldPickaxe dodatno se pokazuje njegovom sposobnošću da zaobiđe sigurnosne mjere nametnute u Tajlandu. Ove mjere nalažu korisnicima da potvrde značajnije transakcije korištenjem prepoznavanja lica kako bi se spriječila prijevara. GoldPickaxe genijalno navodi žrtve da snime video kao metodu potvrde unutar varljive aplikacije. Snimljeni video služi kao sirovina za izradu deepfake videa putem usluga umjetne inteligencije za zamjenu lica.
Štoviše, i Android i iOS varijante zlonamjernog softvera posjeduju sposobnost prikupljanja identifikacijskih dokumenata i fotografija žrtve, presretanja dolaznih SMS poruka i usmjeravanja prometa kroz kompromitirani uređaj. Postoji sumnja da se akteri GoldFactoryja koriste vlastitim uređajima za prijavu na bankovne aplikacije i izvršavanje neovlaštenih prijenosa sredstava.
Razlike između iOS i Android GoldPickaxe verzija
iOS verzija GoldPickaxea pokazuje manje funkcionalnosti u usporedbi s Androidom. Ova se razlika pripisuje zatvorenoj prirodi iOS operativnog sustava i njegovim relativno strogim protokolima dopuštenja.
Android varijanta, koja se smatra evolucijskim nasljednikom GoldDiggerPlusa, maskira se u više od 20 različitih aplikacija povezanih s tajlandskom vladom, financijskim sektorom i komunalnim tvrtkama. Njegov primarni cilj je ukrasti vjerodajnice za prijavu s tih usluga. Međutim, točne namjere aktera prijetnje ovim prikupljenim informacijama ostaju nejasne.
Još jedna značajka zlonamjernog softvera vrijedna pažnje je njegovo iskorištavanje Androidovih usluga pristupačnosti za snimanje pritisaka na tipke i snimanje sadržaja na zaslonu.
