Trojan bankowy GoldPickaxe
Za twórcę zaawansowanych trojanów bankowych zidentyfikowano wyrafinowanego cyberprzestępcę znanego jako GoldFactory, biegle władającego językiem chińskim. Jednym z ich najnowszych dzieł jest nieudokumentowane złośliwe oprogramowanie dla systemu iOS o nazwie GoldPickaxe, które potrafi przechwytywać dokumenty tożsamości i dane dotyczące rozpoznawania twarzy oraz przechwytywać SMS-y.
Badacze sprawdzili, że rodzina GoldPickaxe jest przeznaczona zarówno dla platform iOS, jak i Android. Grupa cyberprzestępcza GoldFactory, uważana za dobrze zorganizowaną i chińskojęzyczną, jest ściśle powiązana z Gigabudem.
Działająca co najmniej od połowy 2023 r. GoldFactory jest odpowiedzialna za rozwój bankowego szkodliwego oprogramowania GoldDigger dla systemu Android wraz z jego ulepszonym wariantem GoldDiggerPlus. Ponadto stworzyli GoldKefu, trojana wbudowanego w GoldDiggerPlus.
Spis treści
Atakujący wykorzystują różne techniki phishingu w celu wdrożenia GoldKickexe
Zidentyfikowano groźne kampanie inżynierii społecznej rozprzestrzeniające złośliwe oprogramowanie, skupiające się na regionie Azji i Pacyfiku, zwłaszcza w Tajlandii i Wietnamie. Napastnicy podają się za lokalne banki i podmioty rządowe.
W przypadku tych ukierunkowanych ataków pojedyncze osoby otrzymują zwodnicze wiadomości typu smishing i phishing, co skłania je do przeniesienia rozmowy do komunikatorów internetowych, takich jak LINE. Następnie napastnicy wysyłają fałszywe adresy URL, co prowadzi do instalacji GoldPickaxe na urządzeniach ofiar.
Niektóre niebezpieczne aplikacje przeznaczone dla systemu Android są hostowane na fałszywych witrynach internetowych, naśladujących strony Sklepu Google Play lub fałszywe witryny firmowe, aby pomyślnie przeprowadzić proces instalacji.
Nowa taktyka stosowana przez cyberprzestępców z GoldFactory
Metoda dystrybucji GoldPickaxe na iOS jest inna i wykorzystuje unikalne podejście. Wykorzystuje platformę TestFlight firmy Apple i wykorzystuje adresy URL-pułapki. Te adresy URL zachęcają użytkowników do pobrania profilu zarządzania urządzeniami mobilnymi (MDM), zapewniającego pełną kontrolę nad urządzeniami iOS i ułatwiającego instalację fałszywej aplikacji. Obie te taktyki dystrybucji zostały ujawnione przez Tajlandzki Sektor Bankowy CERT (TB-CERT) i Biuro Dochodzeniowe ds. Cyberprzestępczości (CCIB) w listopadzie 2023 r.
Wyrafinowanie GoldPickaxe dodatkowo potwierdza jego zdolność do obchodzenia środków bezpieczeństwa nałożonych w Tajlandii. Środki te nakładają na użytkowników obowiązek potwierdzania bardziej znaczących transakcji za pomocą rozpoznawania twarzy, aby zapobiec oszustwom. GoldPickaxe genialnie namawia ofiary do nagrania filmu jako metody potwierdzenia w zwodniczej aplikacji. Nagrane wideo służy jako surowiec do tworzenia fałszywych filmów za pomocą usług sztucznej inteligencji polegających na zamianie twarzy.
Co więcej, zarówno warianty szkodliwego oprogramowania dla systemu Android, jak i iOS potrafią zbierać dokumenty tożsamości i zdjęcia ofiary, przechwytywać przychodzące wiadomości SMS i kierować ruch przez zaatakowane urządzenie. Istnieje podejrzenie, że aktorzy GoldFactory wykorzystują własne urządzenia do logowania się do aplikacji bankowych i wykonywania nieautoryzowanych przelewów środków.
Różnice między wersjami Gold Pickaxe na iOS i Androida
Wersja GoldPickaxe na iOS ma mniej funkcjonalności w porównaniu do swojego odpowiednika na Androida. Tę rozbieżność przypisuje się zamkniętemu charakterowi systemu operacyjnego iOS i jego stosunkowo rygorystycznym protokołom uprawnień.
Wariant Androida, postrzegany jako ewolucyjny następca GoldDiggerPlus, podszywa się pod ponad 20 różnych aplikacji związanych z rządem Tajlandii, sektorem finansowym i przedsiębiorstwami użyteczności publicznej. Jego głównym celem jest kradzież danych logowania z tych usług. Jednak dokładne intencje podmiotów stwarzających zagrożenie w oparciu o zebrane informacje pozostają niejasne.
Inną godną uwagi cechą tego szkodliwego oprogramowania jest wykorzystywanie usług ułatwień dostępu Androida do rejestrowania naciśnięć klawiszy i przechwytywania treści wyświetlanych na ekranie.
