GoldPickaxe Banking Trojan

តួអង្គគម្រាមកំហែងស្មុគ្រស្មាញដែលគេស្គាល់ថាជា GoldFactory ដែលស្ទាត់ជំនាញជាភាសាចិន ត្រូវបានគេកំណត់ថាជាអ្នកបង្កើត Trojan ធនាគារកម្រិតខ្ពស់។ ការបង្កើតថ្មីបំផុតមួយរបស់ពួកគេគឺមេរោគ iOS ដែលមិនមានឯកសារមួយឈ្មោះថា GoldPickaxe ដែលមានសមត្ថភាពប្រមូលឯកសារអត្តសញ្ញាណ និងទិន្នន័យសម្គាល់ផ្ទៃមុខ និងស្ទាក់ចាប់ SMS ។

អ្នកស្រាវជ្រាវបានផ្ទៀងផ្ទាត់ថាគ្រួសារ GoldPickaxe កំណត់គោលដៅទាំងប្រព័ន្ធប្រតិបត្តិការ iOS និង Android ។ ក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត GoldFactory ត្រូវបានគេជឿថាត្រូវបានរៀបចំយ៉ាងល្អ និងនិយាយភាសាចិន មានទំនាក់ទំនងយ៉ាងជិតស្និទ្ធជាមួយ Gigabud ។

ដំណើរការតាំងពីពាក់កណ្តាលឆ្នាំ 2023 មក ក្រុមហ៊ុន GoldFactory ទទួលខុសត្រូវចំពោះការបង្កើតមេរោគធនាគារដែលមានមូលដ្ឋានលើប្រព័ន្ធប្រតិបត្តិការ Android GoldDigger រួមជាមួយ GoldDiggerPlus វ៉ារ្យ៉ង់ដែលបានធ្វើឱ្យប្រសើរឡើងរបស់វា។ លើសពីនេះ ពួកគេបានបង្កើត GoldKefu ដែលជា Trojan ដែលបានបង្កប់នៅក្នុង GoldDiggerPlus ។

អ្នកវាយប្រហារប្រើប្រាស់បច្ចេកទេសបន្លំផ្សេងៗ ដើម្បីដាក់ពង្រាយ GoldPickaxe

យុទ្ធនាការ​វិស្វកម្ម​សង្គម​ដែល​គំរាមកំហែង​ផ្សព្វផ្សាយ​មេរោគ​ត្រូវ​បាន​កំណត់​អត្តសញ្ញាណ ដោយ​ផ្តោត​លើ​តំបន់​អាស៊ី​ប៉ាស៊ីហ្វិក ជាពិសេស​ប្រទេស​ថៃ និង​វៀតណាម។ អ្នកវាយប្រហារបន្លំខ្លួនជាធនាគារក្នុងស្រុក និងអង្គភាពរដ្ឋាភិបាល។

នៅក្នុងការវាយប្រហារតាមគោលដៅទាំងនេះ បុគ្គលទទួលបានសារបោកបញ្ឆោត និងសារបន្លំ ដែលជំរុញឱ្យពួកគេផ្លាស់ប្តូរការសន្ទនាទៅកាន់កម្មវិធីផ្ញើសារភ្លាមៗដូចជា LINE ជាដើម។ ក្រោយមក អ្នកវាយប្រហារបានផ្ញើ URL ក្លែងក្លាយ ដែលនាំទៅដល់ការដំឡើង GoldPickaxe នៅលើឧបករណ៍របស់ជនរងគ្រោះ។

កម្មវិធីដែលមិនមានសុវត្ថិភាពមួយចំនួនដែលត្រូវបានរចនាឡើងសម្រាប់ប្រព័ន្ធប្រតិបត្តិការ Android ត្រូវបានបង្ហោះនៅលើគេហទំព័រក្លែងក្លាយ ធ្វើត្រាប់តាមទំព័រ Google Play Store ឬគេហទំព័រសាជីវកម្មក្លែងក្លាយ ដើម្បីអនុវត្តដំណើរការដំឡើងដោយជោគជ័យ។

យុទ្ធសាស្ត្រថ្មីបង្ហាញដោយ GoldFactory Cybercriminals

វិធីសាស្រ្តចែកចាយរបស់ GoldPickaxe សម្រាប់ iOS មានភាពខុសប្លែកគ្នា ដោយប្រើប្រាស់វិធីសាស្រ្តតែមួយគត់។ វាប្រើប្រាស់វេទិកា TestFlight របស់ Apple និងប្រើប្រាស់ URLs ដែលជាប់គាំង។ URL ទាំងនេះលើកទឹកចិត្តឱ្យអ្នកប្រើប្រាស់ទាញយកទម្រង់ការគ្រប់គ្រងឧបករណ៍ចល័ត (MDM) ដោយផ្តល់ការគ្រប់គ្រងពេញលេញលើឧបករណ៍ iOS និងជួយសម្រួលដល់ការដំឡើងកម្មវិធីបញ្ឆោតទាំងឡាយ។ យុទ្ធសាស្ត្រចែកចាយទាំងពីរនេះត្រូវបានបង្ហាញដោយ Thailand Banking Sector CERT (TB-CERT) និង Cyber Crime Investigation Bureau (CCIB) ក្នុងខែវិច្ឆិកា ឆ្នាំ 2023។

ភាពទំនើបរបស់ GoldPickaxe ត្រូវបានបង្ហាញបន្ថែមទៀតដោយសមត្ថភាពរបស់ខ្លួនក្នុងការគេចចេញពីវិធានការសន្តិសុខដែលដាក់ក្នុងប្រទេសថៃ។ វិធានការទាំងនេះកំណត់ឱ្យអ្នកប្រើប្រាស់បញ្ជាក់ប្រតិបត្តិការសំខាន់ៗបន្ថែមទៀត ដោយប្រើការសម្គាល់មុខ ដើម្បីការពារការក្លែងបន្លំ។ GoldPickaxe ជំរុញជនរងគ្រោះឱ្យថតវីដេអូជាវិធីសាស្ត្របញ្ជាក់នៅក្នុងកម្មវិធីបោកប្រាស់។ វីដេអូដែលបានថតទុកមានតួនាទីជាវត្ថុធាតុដើមសម្រាប់បង្កើតវីដេអូក្លែងបន្លំជ្រៅតាមរយៈសេវាកម្មបញ្ញាសិប្បនិមិត្តដែលផ្លាស់ប្តូរមុខ។

លើសពីនេះទៅទៀត មេរោគទាំងពីរប្រភេទ Android និង iOS មានសមត្ថភាពប្រមូលឯកសារ និងរូបថតរបស់ជនរងគ្រោះ ស្ទាក់ចាប់សារ SMS ចូល និងចរាចរផ្លូវឆ្លងកាត់ឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។ មានការសង្ស័យថាតួអង្គ GoldFactory ប្រើឧបករណ៍ផ្ទាល់ខ្លួនរបស់ពួកគេដើម្បីចូលកម្មវិធីធនាគារ និងដំណើរការការផ្ទេរប្រាក់ដែលគ្មានការអនុញ្ញាត។

ភាពខុសគ្នារវាង iOS និង Android កំណែ GoldPickaxe

កំណែ iOS របស់ GoldPickaxe បង្ហាញមុខងារតិចជាងបើប្រៀបធៀបទៅនឹងសមភាគី Android របស់វា។ ភាពខុសគ្នានេះត្រូវបានកំណត់គុណលក្ខណៈលក្ខណៈបិទនៃប្រព័ន្ធប្រតិបត្តិការ iOS និងពិធីការអនុញ្ញាតដ៏តឹងរ៉ឹងរបស់វា។

វ៉ារ្យ៉ង់ Android ដែលត្រូវបានគេមើលឃើញថាជាអ្នកស្នងតំណែងបន្តបន្ទាប់របស់ GoldDiggerPlus បន្លំខ្លួនជាកម្មវិធីជាង 20 ផ្សេងៗគ្នាដែលពាក់ព័ន្ធជាមួយរដ្ឋាភិបាល វិស័យហិរញ្ញវត្ថុ និងក្រុមហ៊ុនឧបករណ៍ប្រើប្រាស់របស់ប្រទេសថៃ។ គោលដៅចម្បងរបស់វាគឺដើម្បីលួចចូលព័ត៌មានសម្ងាត់ពីសេវាកម្មទាំងនេះ។ ទោះជាយ៉ាងណាក៏ដោយ ចេតនាពិតប្រាកដរបស់តួអង្គគំរាមកំហែងជាមួយនឹងព័ត៌មានដែលប្រមូលបាននេះ នៅតែមិនទាន់ច្បាស់នៅឡើយ។

លក្ខណៈគួរឱ្យកត់សម្គាល់មួយទៀតនៃមេរោគគឺការកេងប្រវ័ញ្ចលើសេវាកម្មភាពងាយស្រួលរបស់ Android ដើម្បីកត់ត្រាការចុចគ្រាប់ចុច និងចាប់យកមាតិកានៅលើអេក្រង់។