GoldPickaxe Banking Trojan
Um sofisticado agente de ameaças conhecido como GoldFactory, fluente em chinês, foi identificado como o criador de Trojans bancários avançados. Uma de suas criações mais recentes é um malware não documentado para iOS chamado GoldPickaxe, que é capaz de coletar documentos de identidade e dados de reconhecimento facial e interceptar SMS.
Os pesquisadores verificaram que a família GoldPickaxe tem como alvo as plataformas iOS e Android. O grupo de crimes cibernéticos GoldFactory, considerado bem organizado e de língua chinesa, está intimamente ligado ao Gigabud.
Em operação desde pelo menos meados de 2023, a GoldFactory é responsável pelo desenvolvimento do malware bancário GoldDigger baseado no Android, juntamente com sua variante aprimorada GoldDiggerPlus. Além disso, eles criaram o GoldKefu, um Trojan incorporado ao GoldDiggerPlus.
Índice
Os Invasores Utilizam Várias Técnicas de Phishing para Implantar o GoldPickaxe
Foram identificadas campanhas ameaçadoras de engenharia social que espalham malware, com foco na região Ásia-Pacífico, particularmente na Tailândia e no Vietnã. Os invasores se disfarçam de bancos locais e entidades governamentais.
Nestes ataques direcionados, os indivíduos recebem mensagens enganosas de smishing e phishing, levando-os a mudar a conversa para aplicativos de mensagens instantâneas como o LINE. Posteriormente, os invasores enviam URLs fraudulentos, levando à instalação do GoldPickaxe nos dispositivos das vítimas.
Certos aplicativos inseguros projetados para Android são hospedados em sites falsificados, imitando páginas da Google Play Store ou sites corporativos falsos, para realizar o processo de instalação com êxito.
Novas Táticas Exibidas pelos Cibercriminosos do GoldFactory
O método de distribuição do GoldPickaxe para iOS é diferente, empregando uma abordagem única. Ele utiliza a plataforma TestFlight da Apple e emprega URLs com armadilhas. Esses URLs incentivam os usuários a baixar um perfil de gerenciamento de dispositivos móveis (MDM), garantindo controle total sobre os dispositivos iOS e facilitando a instalação do aplicativo não autorizado. Ambas as táticas de distribuição foram reveladas pelo CERT do Setor Bancário da Tailândia (TB-CERT) e pelo Gabinete de Investigação de Crimes Cibernéticos (CCIB) em novembro de 2023.
A sofisticação do GoldPickaxe é ainda demonstrada pela sua capacidade de contornar as medidas de segurança impostas na Tailândia. Estas medidas obrigam os utilizadores a confirmar transações mais significativas utilizando o reconhecimento facial para evitar fraudes. GoldPickaxe engenhosamente solicita às vítimas que gravem um vídeo como método de confirmação dentro do aplicativo enganoso. O vídeo gravado serve como matéria-prima para a elaboração de vídeos deepfake por meio de serviços de inteligência artificial de troca de rosto.
Além disso, as variantes Android e iOS do malware possuem a capacidade de reunir documentos de identificação e fotos da vítima, interceptar mensagens SMS recebidas e encaminhar o tráfego através do dispositivo comprometido. Suspeita-se que os atores da GoldFactory utilizem os seus próprios dispositivos para iniciar sessão em aplicações bancárias e executar transferências de fundos não autorizadas.
Diferenças entre as Versões GoldPickaxe para o iOS e o Android
A versão iOS do GoldPickaxe demonstra menos funcionalidades em comparação com sua contraparte Android. Essa discrepância é atribuída à natureza fechada do sistema operacional iOS e aos seus protocolos de permissão relativamente rigorosos.
A variante Android, vista como um sucessor evolutivo do GoldDiggerPlus, disfarça-se em mais de 20 aplicações diferentes associadas ao governo, ao setor financeiro e às empresas de serviços públicos da Tailândia. Seu principal objetivo é roubar credenciais de login desses serviços. No entanto, as intenções exatas dos atores da ameaça com esta informação recolhida permanecem obscuras.
Outra característica digna de nota do malware é a exploração dos serviços de acessibilidade do Android para registrar as teclas digitadas e capturar conteúdo na tela.
