GoldPickaxe Banking Trojas zirgs
Izsmalcināts draudu aktieris, kas pazīstams kā GoldFactory un kurš brīvi pārvalda ķīniešu valodu, ir identificēts kā modernu banku Trojas zirgu radītājs. Viens no viņu jaunākajiem darbiem ir nedokumentēta iOS ļaunprogrammatūra ar nosaukumu GoldPickaxe, kas spēj iegūt personas dokumentus un sejas atpazīšanas datus un pārtvert SMS.
Pētnieki ir pārliecinājušies, ka GoldPickaxe saime ir paredzēta gan iOS, gan Android platformām. Tiek uzskatīts, ka GoldFactory kibernoziedzības grupa ir labi organizēta un runā ķīniešu valodā, ir cieši saistīta ar Gigabudu.
GoldFactory darbojas vismaz kopš 2023. gada vidus, un tā ir atbildīga par Android banku ļaunprogrammatūras GoldDigger izstrādi, kā arī tās uzlabotā varianta GoldDiggerPlus izstrādi. Turklāt viņi ir izveidojuši GoldKefu, GoldDiggerPlus iegulto Trojas zirgu.
Satura rādītājs
Uzbrucēji izmanto dažādas pikšķerēšanas metodes, lai izvietotu GoldPickaxe
Ir konstatētas draudīgas sociālās inženierijas kampaņas, kas izplata ļaunprātīgu programmatūru, koncentrējoties uz Āzijas un Klusā okeāna reģionu, īpaši Taizemi un Vjetnamu. Uzbrucēji maskējas par vietējām bankām un valsts iestādēm.
Šajos mērķtiecīgos uzbrukumos personas saņem maldinošus un pikšķerēšanas ziņojumus, liekot viņiem pārslēgt sarunu uz tūlītējās ziņojumapmaiņas lietotnēm, piemēram, LINE. Pēc tam uzbrucēji nosūta krāpnieciskus URL, kā rezultātā upuru ierīcēs tiek instalēta GoldPickaxe.
Lai sekmīgi veiktu instalēšanas procesu, noteiktas nedrošas lietojumprogrammas, kas izstrādātas operētājsistēmai Android, tiek mitinātas viltotās vietnēs, kas atdarina Google Play veikala lapas vai viltotas korporatīvās vietnes.
Jauna taktika, ko demonstrē GoldFactory kibernoziedznieki
GoldPickaxe izplatīšanas metode operētājsistēmai iOS atšķiras, izmantojot unikālu pieeju. Tajā tiek izmantota Apple TestFlight platforma un tiek izmantoti vietrāžus URL. Šie vietrāži URL mudina lietotājus lejupielādēt mobilo ierīču pārvaldības (MDM) profilu, nodrošinot pilnīgu iOS ierīču kontroli un atvieglojot negodīgas lietotnes instalēšanu. Abas šīs izplatīšanas taktikas atklāja Taizemes banku sektora CERT (TB-CERT) un Kibernoziegumu izmeklēšanas birojs (CCIB) 2023. gada novembrī.
GoldPickaxe izsmalcinātību vēl vairāk apliecina tā spēja apiet Taizemē noteiktos drošības pasākumus. Šie pasākumi liek lietotājiem apstiprināt nozīmīgākus darījumus, izmantojot sejas atpazīšanu, lai novērstu krāpšanu. GoldPickaxe ģeniāli mudina upurus ierakstīt videoklipu kā apstiprinājuma metodi maldinošajā lietojumprogrammā. Ierakstītais video kalpo kā izejmateriāls dziļu viltojumu videoklipu veidošanai, izmantojot mākslīgā intelekta pakalpojumus, kas maina sejas.
Turklāt gan Android, gan iOS ļaunprogrammatūras variantiem ir iespēja savākt upura personu apliecinošus dokumentus un fotoattēlus, pārtvert ienākošās SMS ziņas un novirzīt trafiku caur apdraudēto ierīci. Pastāv aizdomas, ka GoldFactory dalībnieki izmanto savas ierīces, lai pierakstītos banku lietojumprogrammās un veiktu nesankcionētus līdzekļu pārskaitījumus.
Atšķirības starp iOS un Android GoldPickaxe versijām
GoldPickaxe iOS versija demonstrē mazāk funkcionalitātes nekā tās Android versija. Šī neatbilstība ir saistīta ar iOS operētājsistēmas slēgto raksturu un tās salīdzinoši stingriem atļauju protokoliem.
Android variants, kas tiek uzskatīts par GoldDiggerPlus evolucionāru pēcteci, maskējas kā vairāk nekā 20 dažādas lietojumprogrammas, kas saistītas ar Taizemes valdību, finanšu sektoru un komunālajiem uzņēmumiem. Tās galvenais mērķis ir nozagt pieteikšanās akreditācijas datus no šiem pakalpojumiem. Tomēr precīzi draudu dalībnieku nodomi ar šo savākto informāciju joprojām nav skaidri.
Vēl viena ievērības cienīga ļaunprātīgas programmatūras īpašība ir Android pieejamības pakalpojumu izmantošana, lai ierakstītu taustiņsitienus un tvertu ekrānā redzamo saturu.
