Trojan Perbankan GoldPickaxe
Seorang pelakon ancaman canggih yang dikenali sebagai GoldFactory, fasih berbahasa Cina, telah dikenal pasti sebagai pencipta Trojan perbankan maju. Salah satu ciptaan terbaharu mereka ialah perisian hasad iOS tanpa dokumen bernama GoldPickaxe, yang mampu menuai dokumen identiti dan data pengecaman muka serta memintas SMS.
Penyelidik telah mengesahkan bahawa keluarga GoldPickaxe menyasarkan kedua-dua platform iOS dan Android. Kumpulan jenayah siber GoldFactory dipercayai tersusun dan berbahasa Cina, berkait rapat dengan Gigabud.
Beroperasi sejak sekurang-kurangnya pertengahan 2023, GoldFactory bertanggungjawab untuk pembangunan perisian hasad perbankan berasaskan Android GoldDigger, bersama-sama dengan variannya yang dipertingkatkan GoldDiggerPlus. Selain itu, mereka telah mencipta GoldKefu, Trojan terbenam dalam GoldDiggerPlus.
Isi kandungan
Penyerang Menggunakan Pelbagai Teknik Phishing untuk Menggunakan GoldPickaxe
Kempen kejuruteraan sosial yang mengancam yang menyebarkan perisian hasad telah dikenal pasti, memfokuskan pada rantau Asia-Pasifik, khususnya Thailand dan Vietnam. Penyerang menyamar sebagai bank tempatan dan entiti kerajaan.
Dalam serangan yang disasarkan ini, individu menerima mesej smishing dan pancingan data yang mengelirukan, mendorong mereka untuk mengalihkan perbualan kepada apl pemesejan segera seperti LINE. Selepas itu, penyerang menghantar URL penipuan, yang membawa kepada pemasangan GoldPickaxe pada peranti mangsa.
Aplikasi tidak selamat tertentu yang direka untuk Android dihoskan pada tapak web palsu, meniru halaman Gedung Google Play atau tapak korporat palsu, untuk menjalankan proses pemasangan dengan jayanya.
Taktik Baharu yang Dipaparkan oleh Penjenayah Siber GoldFactory
Kaedah pengedaran GoldPickaxe untuk iOS berbeza, menggunakan pendekatan yang unik. Ia menggunakan platform TestFlight Apple dan menggunakan URL yang terperangkap samar. URL ini menggalakkan pengguna memuat turun profil Pengurusan Peranti Mudah Alih (MDM), memberikan kawalan sepenuhnya ke atas peranti iOS dan memudahkan pemasangan apl penyangak itu. Kedua-dua taktik pengedaran ini telah didedahkan oleh CERT Sektor Perbankan Thailand (TB-CERT) dan Biro Siasatan Jenayah Siber (CCIB) pada November 2023.
Kecanggihan GoldPickaxe ditunjukkan lagi dengan keupayaannya untuk memintas langkah keselamatan yang dikenakan di Thailand. Langkah-langkah ini memberi mandat kepada pengguna untuk mengesahkan transaksi yang lebih penting menggunakan pengecaman muka untuk mengelakkan penipuan. GoldPickaxe dengan bijak menggesa mangsa untuk merakam video sebagai kaedah pengesahan dalam aplikasi yang menipu. Video yang dirakam berfungsi sebagai bahan mentah untuk mencipta video palsu melalui perkhidmatan kecerdasan buatan menukar muka.
Selain itu, kedua-dua varian Android dan iOS bagi perisian hasad mempunyai keupayaan untuk mengumpulkan dokumen ID dan foto mangsa, memintas mesej SMS masuk dan laluan trafik melalui peranti yang terjejas. Terdapat syak wasangka bahawa pelakon GoldFactory menggunakan peranti mereka sendiri untuk melog masuk ke aplikasi bank dan melaksanakan pemindahan dana tanpa kebenaran.
Perbezaan Antara Versi iOS dan Android GoldPickaxe
Versi iOS GoldPickaxe menunjukkan fungsi yang lebih sedikit berbanding rakan Androidnya. Percanggahan ini dikaitkan dengan sifat tertutup sistem pengendalian iOS dan protokol kebenarannya yang agak ketat.
Varian Android, dilihat sebagai pengganti evolusi kepada GoldDiggerPlus, menyamar sebagai lebih 20 aplikasi berbeza yang dikaitkan dengan kerajaan Thailand, sektor kewangan dan syarikat utiliti. Matlamat utamanya adalah untuk mencuri kelayakan log masuk daripada perkhidmatan ini. Bagaimanapun, niat sebenar pelaku ancaman dengan maklumat yang dikumpul ini masih tidak jelas.
Satu lagi ciri perisian hasad yang patut diberi perhatian ialah eksploitasi perkhidmatan kebolehcapaian Android untuk merakam ketukan kekunci dan menangkap kandungan pada skrin.
