GoldPickaxe Banking Trojan
En sofistikert trusselaktør kjent som GoldFactory, som snakker flytende kinesisk, har blitt identifisert som skaperen av avanserte banktrojanere. En av deres siste kreasjoner er en udokumentert iOS-skadevare kalt GoldPickaxe, som er i stand til å samle inn identitetsdokumenter og ansiktsgjenkjenningsdata og avskjære SMS.
Forskere har bekreftet at GoldPickaxe-familien retter seg mot både iOS- og Android-plattformer. GoldFactory cybercrime-gruppen som antas å være godt organisert og kinesisktalende, er nært knyttet til Gigabud.
GoldFactory, som har vært i drift siden minst midten av 2023, er ansvarlig for utviklingen av den Android-baserte bankprogramvare GoldDigger, sammen med den forbedrede varianten GoldDiggerPlus. I tillegg har de laget GoldKefu, en innebygd trojaner i GoldDiggerPlus.
Innholdsfortegnelse
Angripere bruker forskjellige phishing-teknikker for å distribuere GoldPickaxe
Truende sosiale ingeniørkampanjer som sprer skadelig programvare er identifisert, med fokus på Asia-Stillehavsregionen, spesielt Thailand og Vietnam. Angriperne forkle seg som lokale banker og statlige enheter.
I disse målrettede angrepene mottar enkeltpersoner villedende smishing- og phishing-meldinger, som ber dem flytte samtalen til direktemeldingsapper som LINE. Deretter sender angriperne falske URL-er, noe som fører til installasjon av GoldPickaxe på ofrenes enheter.
Visse usikre applikasjoner designet for Android ligger på falske nettsteder, som etterligner Google Play Store-sider eller falske bedriftssider, for å gjennomføre installasjonsprosessen på en vellykket måte.
Ny taktikk vist av GoldFactory Cybercriminals
GoldPickaxes distribusjonsmetode for iOS er forskjellig, og bruker en unik tilnærming. Den bruker Apples TestFlight-plattform og bruker booby-fangede URL-er. Disse nettadressene oppfordrer brukere til å laste ned en MDM-profil (Mobile Device Management), som gir full kontroll over iOS-enheter og forenkler installasjonen av den falske appen. Begge disse distribusjonstaktikkene ble avslørt av Thailand Banking Sector CERT (TB-CERT) og Cyber Crime Investigation Bureau (CCIB) i november 2023.
Sofistikeringen til GoldPickaxe demonstreres ytterligere av dens evne til å omgå sikkerhetstiltak som er pålagt i Thailand. Disse tiltakene gir brukerne mandat til å bekrefte mer betydelige transaksjoner ved å bruke ansiktsgjenkjenning for å forhindre svindel. GoldPickaxe ber genialt ofrene om å spille inn en video som en bekreftelsesmetode i den villedende applikasjonen. Den innspilte videoen fungerer som råmateriale for å lage dypfalske videoer gjennom ansiktsbytte kunstig intelligens-tjenester.
Dessuten har både Android- og iOS-variantene av skadelig programvare muligheten til å samle offerets ID-dokumenter og bilder, avskjære innkommende SMS-meldinger og rute trafikk gjennom den kompromitterte enheten. Det er mistanke om at GoldFactory-aktørene bruker sine egne enheter for å logge på bankapplikasjoner og utføre uautoriserte pengeoverføringer.
Forskjeller mellom iOS- og Android GoldPickaxe-versjonene
iOS-versjonen av GoldPickaxe demonstrerer færre funksjoner sammenlignet med Android-motparten. Dette avviket tilskrives den lukkede naturen til iOS-operativsystemet og dets relativt strenge tillatelsesprotokoller.
Android-varianten, sett på som en evolusjonær etterfølger til GoldDiggerPlus, forkledd seg som over 20 forskjellige applikasjoner knyttet til Thailands regjering, finanssektor og forsyningsselskaper. Dets primære mål er å stjele påloggingsinformasjon fra disse tjenestene. De eksakte intensjonene til trusselaktørene med denne innsamlede informasjonen er imidlertid fortsatt uklare.
En annen bemerkelsesverdig egenskap ved skadelig programvare er dens utnyttelse av Androids tilgjengelighetstjenester for å registrere tastetrykk og fange innhold på skjermen.
