GoldPickaxe 뱅킹 트로이목마

중국어에 능통한 GoldFactory로 알려진 정교한 위협 행위자가 고급 뱅킹 트로이 목마를 만든 것으로 확인되었습니다. 이들의 최신 창작물 중 하나는 GoldPickaxe라는 문서화되지 않은 iOS 악성코드로, 신원 문서와 안면 인식 데이터를 수집하고 SMS를 가로챌 수 있습니다.

연구원들은 GoldPickaxe 제품군이 iOS와 Android 플랫폼을 모두 대상으로 한다는 것을 확인했습니다. 잘 조직되어 있고 중국어를 사용하는 것으로 추정되는 GoldFactory 사이버 범죄 그룹은 Gigabud와 긴밀하게 연결되어 있습니다.

적어도 2023년 중반부터 운영된 GoldFactory는 향상된 변종 GoldDiggerPlus와 함께 Android 기반 뱅킹 악성코드 GoldDigger 의 개발을 담당하고 있습니다. 또한 그들은 GoldDiggerPlus에 내장된 트로이 목마인 GoldKefu를 생성했습니다.

공격자는 다양한 피싱 기술을 활용하여 GoldPickaxe를 배포합니다.

아시아 태평양 지역, 특히 태국과 베트남을 중심으로 맬웨어를 유포하는 위협적인 사회 공학 캠페인이 확인되었습니다. 공격자는 자신을 지역 은행이나 정부 기관으로 위장합니다.

이러한 표적 공격에서 개인은 사기성 스미싱 및 피싱 메시지를 수신하여 LINE과 같은 인스턴트 메시징 앱으로 대화를 전환하도록 유도합니다. 이후 공격자는 사기성 URL을 보내 피해자의 기기에 GoldPickaxe를 설치하게 됩니다.

Android용으로 설계된 안전하지 않은 특정 애플리케이션은 설치 프로세스를 성공적으로 수행하기 위해 Google Play 스토어 페이지나 가짜 회사 사이트를 모방한 위조 웹사이트에서 호스팅됩니다.

GoldFactory 사이버범죄자들이 선보이는 새로운 전술

GoldPickaxe의 iOS 배포 방법은 독특한 접근 방식을 사용하여 다릅니다. Apple의 TestFlight 플랫폼을 활용하고 부비트랩 URL을 사용합니다. 이러한 URL은 사용자가 MDM(모바일 기기 관리) 프로필을 다운로드하도록 유도하여 iOS 기기에 대한 완전한 제어권을 부여하고 악성 앱 설치를 용이하게 합니다. 이 두 배포 전술은 모두 2023년 11월 태국 은행 부문 CERT(TB-CERT)와 사이버범죄수사국(CCIB)에 의해 밝혀졌습니다.

GoldPickaxe의 정교함은 태국에서 부과된 보안 조치를 우회하는 능력으로 더욱 입증됩니다. 이러한 조치는 사기를 방지하기 위해 사용자에게 안면 인식을 사용하여 더 중요한 거래를 확인하도록 요구합니다. GoldPickaxe는 사기성 애플리케이션 내에서 확인 방법으로 피해자에게 비디오를 녹화하도록 교묘하게 유도합니다. 녹화된 영상은 얼굴 교환 인공지능 서비스를 통해 딥페이크 영상 제작의 원료가 된다.

또한 이 악성 코드의 Android 및 iOS 변종은 모두 피해자의 ID 문서와 사진을 수집하고, 수신되는 SMS 메시지를 가로채고, 손상된 장치를 통해 트래픽을 라우팅하는 기능을 보유하고 있습니다. GoldFactory 공격자가 자신의 장치를 사용하여 은행 애플리케이션에 로그인하고 무단 자금 이체를 실행한다는 의혹이 있습니다.

iOS와 Android GoldPickaxe 버전의 차이점

GoldPickaxe의 iOS 버전은 Android 버전에 비해 기능이 적습니다. 이러한 불일치는 iOS 운영 체제의 폐쇄적 특성과 상대적으로 엄격한 권한 프로토콜로 인해 발생합니다.

GoldDiggerPlus의 혁신적인 후속 버전으로 간주되는 Android 변종은 태국 정부, 금융 부문 및 유틸리티 회사와 관련된 20개 이상의 다양한 애플리케이션으로 위장합니다. 주요 목표는 이러한 서비스에서 로그인 자격 증명을 훔치는 것입니다. 그러나 이렇게 수집된 정보를 가지고 있는 위협 행위자들의 정확한 의도는 아직 불분명합니다.

이 악성코드의 또 다른 주목할만한 특징은 안드로이드의 접근성 서비스를 이용하여 키 입력을 기록하고 화면 콘텐츠를 캡처한다는 것입니다.