Trojan bancario GoldPickaxe
Un sofisticato attore di minacce noto come GoldFactory, che parla fluentemente cinese, è stato identificato come il creatore di trojan bancari avanzati. Una delle loro ultime creazioni è un malware iOS non documentato chiamato GoldPickaxe, in grado di raccogliere documenti di identità e dati di riconoscimento facciale e di intercettare SMS.
I ricercatori hanno verificato che la famiglia GoldPickaxe è destinata sia alle piattaforme iOS che a quelle Android. Il gruppo di criminalità informatica GoldFactory, ritenuto ben organizzato e di lingua cinese, è strettamente legato a Gigabud.
Operante almeno dalla metà del 2023, GoldFactory è responsabile dello sviluppo del malware bancario basato su Android GoldDigger, insieme alla sua variante potenziata GoldDiggerPlus. Inoltre, hanno creato GoldKefu, un Trojan incorporato in GoldDiggerPlus.
Sommario
Gli aggressori utilizzano varie tecniche di phishing per utilizzare GoldPickaxe
Sono state identificate campagne minacciose di ingegneria sociale che diffondono malware, concentrandosi sulla regione Asia-Pacifico, in particolare Tailandia e Vietnam. Gli aggressori si travestono da banche locali ed enti governativi.
In questi attacchi mirati, gli individui ricevono messaggi ingannevoli di smishing e phishing, che li spingono a spostare la conversazione su app di messaggistica istantanea come LINE. Successivamente gli aggressori inviano URL fraudolenti che portano all'installazione di GoldPickaxe sui dispositivi delle vittime.
Alcune applicazioni non sicure progettate per Android sono ospitate su siti Web contraffatti, imitando le pagine di Google Play Store o siti aziendali falsi, per eseguire con successo il processo di installazione.
Nuove tattiche utilizzate dai criminali informatici della GoldFactory
Il metodo di distribuzione di GoldPickaxe per iOS è diverso, utilizzando un approccio unico. Utilizza la piattaforma TestFlight di Apple e impiega URL con trappole esplosive. Questi URL incoraggiano gli utenti a scaricare un profilo Mobile Device Management (MDM), garantendo il controllo completo sui dispositivi iOS e facilitando l'installazione dell'app non autorizzata. Entrambe queste tattiche di distribuzione sono state rivelate dal CERT del settore bancario tailandese (TB-CERT) e dal Cyber Crime Investigation Bureau (CCIB) nel novembre 2023.
La sofisticatezza di GoldPickaxe è ulteriormente dimostrata dalla sua capacità di eludere le misure di sicurezza imposte in Tailandia. Queste misure impongono agli utenti di confermare le transazioni più significative utilizzando il riconoscimento facciale per prevenire le frodi. GoldPickaxe spinge ingegnosamente le vittime a registrare un video come metodo di conferma all'interno dell'applicazione ingannevole. Il video registrato funge da materia prima per creare video deepfake attraverso servizi di intelligenza artificiale con scambio di volti.
Inoltre, sia la variante Android che quella iOS del malware possiedono la capacità di raccogliere documenti d'identità e foto della vittima, intercettare i messaggi SMS in arrivo e instradare il traffico attraverso il dispositivo compromesso. C'è il sospetto che gli autori di GoldFactory utilizzino i propri dispositivi per accedere alle applicazioni bancarie ed eseguire trasferimenti di fondi non autorizzati.
Differenze tra le versioni iOS e Android GoldPickaxe
La versione iOS di GoldPickaxe presenta meno funzionalità rispetto alla sua controparte Android. Questa discrepanza è attribuita alla natura chiusa del sistema operativo iOS e ai suoi protocolli di autorizzazione relativamente rigorosi.
La variante Android, vista come successore evolutivo di GoldDiggerPlus, si maschera da oltre 20 diverse applicazioni associate al governo, al settore finanziario e alle società di servizi pubblici tailandesi. Il suo obiettivo principale è rubare le credenziali di accesso da questi servizi. Tuttavia, le intenzioni esatte degli autori delle minacce con queste informazioni raccolte rimangono poco chiare.
Un'altra caratteristica degna di nota del malware è lo sfruttamento dei servizi di accessibilità di Android per registrare i tasti premuti e acquisire contenuti sullo schermo.
