GoldPickaxe Banking-trojan
Een geavanceerde bedreigingsacteur, bekend als GoldFactory, die vloeiend Chinees spreekt, is geïdentificeerd als de maker van geavanceerde banktrojans. Een van hun nieuwste creaties is een ongedocumenteerde iOS-malware genaamd GoldPickaxe, die in staat is identiteitsdocumenten en gezichtsherkenningsgegevens te verzamelen en sms-berichten te onderscheppen.
Onderzoekers hebben geverifieerd dat de GoldPickaxe-familie zich richt op zowel iOS- als Android-platforms. De cybercriminaliteitsgroep GoldFactory, die naar verluidt goed georganiseerd en Chinees spreekt, is nauw verbonden met Gigabud.
GoldFactory is actief sinds ten minste medio 2023 en is verantwoordelijk voor de ontwikkeling van de Android-gebaseerde bankmalware GoldDigger, samen met de verbeterde variant GoldDiggerPlus. Bovendien hebben ze GoldKefu gemaakt, een ingebedde Trojan binnen GoldDiggerPlus.
Inhoudsopgave
Aanvallers gebruiken verschillende phishing-technieken om GoldPickaxe in te zetten
Er zijn bedreigende social engineering-campagnes geïdentificeerd die malware verspreiden, waarbij de nadruk ligt op de regio Azië-Pacific, met name Thailand en Vietnam. De aanvallers vermommen zich als lokale banken en overheidsinstanties.
Bij deze gerichte aanvallen ontvangen individuen misleidende smishing- en phishing-berichten, die hen ertoe aanzetten het gesprek te verplaatsen naar instant messaging-apps zoals LINE. Vervolgens sturen de aanvallers frauduleuze URL's, wat leidt tot de installatie van GoldPickaxe op de apparaten van de slachtoffers.
Bepaalde onveilige applicaties die voor Android zijn ontworpen, worden gehost op namaakwebsites, die de Google Play Store-pagina's of nep-bedrijfssites nabootsen, om het installatieproces met succes uit te voeren.
Nieuwe tactieken getoond door de GoldFactory-cybercriminelen
De distributiemethode van GoldPickaxe voor iOS verschilt en maakt gebruik van een unieke aanpak. Het maakt gebruik van het TestFlight-platform van Apple en maakt gebruik van boobytrap-URL's. Deze URL's moedigen gebruikers aan om een Mobile Device Management (MDM)-profiel te downloaden, waardoor volledige controle over iOS-apparaten wordt verleend en de installatie van de frauduleuze app wordt vergemakkelijkt. Beide distributietactieken werden in november 2023 onthuld door de Thailand Banking Sector CERT (TB-CERT) en het Cyber Crime Investigation Bureau (CCIB).
De verfijning van GoldPickaxe wordt verder gedemonstreerd door zijn vermogen om in Thailand opgelegde veiligheidsmaatregelen te omzeilen. Deze maatregelen verplichten gebruikers om belangrijkere transacties te bevestigen met behulp van gezichtsherkenning om fraude te voorkomen. GoldPickaxe vraagt slachtoffers op ingenieuze wijze om een video op te nemen als bevestigingsmethode binnen de misleidende applicatie. De opgenomen video dient als grondstof voor het maken van deepfake-video’s via face-swapping kunstmatige intelligentiediensten.
Bovendien beschikken zowel de Android- als iOS-varianten van de malware over de mogelijkheid om de identiteitsdocumenten en foto's van het slachtoffer te verzamelen, inkomende sms-berichten te onderscheppen en verkeer via het besmette apparaat te leiden. Er bestaat een vermoeden dat de GoldFactory-actoren hun eigen apparaten gebruiken om in te loggen op bankapplicaties en ongeautoriseerde geldoverboekingen uit te voeren.
Verschillen tussen de iOS- en Android GoldPickaxe-versies
De iOS-versie van GoldPickaxe vertoont minder functionaliteiten vergeleken met zijn Android-tegenhanger. Deze discrepantie wordt toegeschreven aan het gesloten karakter van het iOS-besturingssysteem en de relatief strenge toestemmingsprotocollen.
De Android-variant, gezien als een evolutionaire opvolger van GoldDiggerPlus, vermomt zich als meer dan twintig verschillende applicaties die verband houden met de Thaise overheid, de financiële sector en nutsbedrijven. Het primaire doel is om inloggegevens van deze services te stelen. De exacte bedoelingen van de dreigingsactoren met deze verzamelde informatie blijven echter onduidelijk.
Een ander opmerkelijk kenmerk van de malware is de exploitatie van de toegankelijkheidsdiensten van Android om toetsaanslagen vast te leggen en inhoud op het scherm vast te leggen.
