GoldPickaxe Banking Trojan
A GoldFactory néven ismert, kifinomult, kínaiul folyékony fenyegetésekkel foglalkozó szereplőt a fejlett banki trójaiak megalkotójaként azonosították. Egyik legújabb alkotásuk a GoldPickaxe névre keresztelt, dokumentálatlan iOS kártevő, amely képes személyazonosító okmányok és arcfelismerő adatok gyűjtésére, valamint SMS-ek lehallgatására.
A kutatók igazolták, hogy a GoldPickaxe család iOS és Android platformokat is megcéloz. A jól szervezettnek és kínaiul beszélőnek hitt GoldFactory kiberbűnözők csoportja szorosan kapcsolódik Gigabudhoz.
A legalább 2023 közepe óta működő GoldFactory a GoldDigger Android-alapú banki kártevő fejlesztéséért, valamint annak továbbfejlesztett változatáért, a GoldDiggerPlusért felelős. Ezenkívül létrehozták a GoldKefu-t, a GoldDiggerPlusba beágyazott trójai programot.
Tartalomjegyzék
A támadók különféle adathalász technikákat alkalmaznak a GoldPickaxe telepítéséhez
Fenyegető, rosszindulatú programokat terjesztő social engineering kampányokat azonosítottak, amelyek az ázsiai-csendes-óceáni térségre, különösen Thaiföldre és Vietnamra összpontosítanak. A támadók helyi bankoknak és kormányzati szerveknek álcázzák magukat.
Ezekben a célzott támadásokban az egyének megtévesztő slushing és adathalász üzeneteket kapnak, ami arra készteti őket, hogy a beszélgetést azonnali üzenetküldő alkalmazásokra, például a LINE-ra tereljék. Ezt követően a támadók hamis URL-eket küldenek, ami a GoldPickaxe telepítéséhez vezet az áldozatok eszközeire.
Egyes Androidra tervezett nem biztonságos alkalmazásokat hamisított webhelyeken tárolnak, amelyek a Google Play Áruház oldalait vagy hamis vállalati webhelyeket utánozzák a telepítési folyamat sikeres végrehajtása érdekében.
Új taktikák a GoldFactory kiberbűnözők által
A GoldPickaxe iOS-re vonatkozó terjesztési módszere eltérő, és egyedi megközelítést alkalmaz. Az Apple TestFlight platformját használja, és csapdába esett URL-eket használ. Ezek az URL-ek arra ösztönzik a felhasználókat, hogy töltsenek le egy mobileszköz-kezelési (MDM) profilt, amely teljes irányítást biztosít az iOS-eszközök felett, és megkönnyíti a csaló alkalmazás telepítését. Mindkét terjesztési taktikát a thaiföldi banki szektor CERT (TB-CERT) és a Cyber Crime Investigation Bureau (CCIB) fedte fel 2023 novemberében.
A GoldPickaxe kifinomultságát tovább bizonyítja, hogy képes megkerülni a Thaiföldön bevezetett biztonsági intézkedéseket. Ezek az intézkedések arra kötelezik a felhasználókat, hogy a jelentősebb tranzakciókat arcfelismeréssel erősítsék meg a csalás megelőzése érdekében. A GoldPickaxe zseniálisan arra ösztönzi az áldozatokat, hogy rögzítsenek egy videót megerősítési módszerként a megtévesztő alkalmazáson belül. A rögzített videó nyersanyagként szolgál mélyhamisított videók készítéséhez arccserélő mesterséges intelligencia szolgáltatásokon keresztül.
Sőt, a kártevő mind Android, mind iOS változata képes összegyűjteni az áldozat személyazonosító okmányait és fényképeit, elfogni a bejövő SMS-eket, és a forgalmat a feltört eszközön keresztül irányítani. Fennáll a gyanú, hogy a GoldFactory szereplői saját eszközeik segítségével jelentkeznek be a banki alkalmazásokba és hajtanak végre jogosulatlan pénzátutalásokat.
Különbségek az iOS és az Android GoldPickaxe verziók között
A GoldPickaxe iOS-verziója kevesebb funkcionalitást kínál, mint Android megfelelője. Ez az eltérés az iOS operációs rendszer zárt jellegének és viszonylag szigorú engedélyezési protokolljainak tudható be.
Az Android változat, amely a GoldDiggerPlus evolúciós utódja, több mint 20 különböző alkalmazásnak álcázza magát, amelyek Thaiföld kormányához, pénzügyi szektorához és közüzemi vállalataihoz kapcsolódnak. Elsődleges célja a bejelentkezési adatok ellopása ezekből a szolgáltatásokból. Az összegyűjtött információkkal fenyegető szereplők pontos szándékai azonban továbbra sem tisztázottak.
A rosszindulatú program másik figyelemre méltó jellemzője az Android akadálymentesítési szolgáltatásainak kihasználása a billentyűleütések rögzítésére és a képernyőn megjelenő tartalom rögzítésére.
