Troian bancar GoldPickaxe

Un actor de amenințări sofisticat, cunoscut sub numele de GoldFactory, care vorbește fluent chineza, a fost identificat drept creatorul troienilor bancare avansate. Una dintre cele mai recente creații ale lor este un malware iOS nedocumentat numit GoldPickaxe, care este capabil să colecteze documente de identitate și date de recunoaștere facială și să intercepteze SMS-uri.

Cercetătorii au verificat că familia GoldPickaxe vizează atât platformele iOS, cât și Android. Grupul de criminalitate informatică GoldFactory despre care se crede că este bine organizat și vorbește chineză, este strâns legat de Gigabud.

Funcționând de cel puțin la jumătatea anului 2023, GoldFactory este responsabilă pentru dezvoltarea programului malware bancar bazat pe Android GoldDigger, împreună cu varianta sa îmbunătățită GoldDiggerPlus. În plus, au creat GoldKefu, un troian încorporat în GoldDiggerPlus.

Atacatorii folosesc diverse tehnici de phishing pentru a implementa GoldPickaxe

Au fost identificate campanii de inginerie socială amenințătoare care răspândesc malware, concentrându-se pe regiunea Asia-Pacific, în special Thailanda și Vietnam. Atacatorii se deghizează în bănci locale și entități guvernamentale.

În aceste atacuri direcționate, indivizii primesc mesaje înșelătoare de smishing și phishing, determinându-i să schimbe conversația către aplicații de mesagerie instantanee, cum ar fi LINE. Ulterior, atacatorii trimit URL-uri frauduloase, ducând la instalarea GoldPickaxe pe dispozitivele victimelor.

Anumite aplicații nesigure concepute pentru Android sunt găzduite pe site-uri web contrafăcute, imitând paginile Magazinului Google Play sau site-uri corporative false, pentru a desfășura procesul de instalare cu succes.

Noi tactici afișate de criminalii cibernetici GoldFactory

Metoda de distribuție a GoldPickaxe pentru iOS diferă, folosind o abordare unică. Utilizează platforma Apple TestFlight și folosește URL-uri cu capcane. Aceste adrese URL încurajează utilizatorii să descarce un profil Mobile Device Management (MDM), oferind control complet asupra dispozitivelor iOS și facilitând instalarea aplicației necinstite. Ambele aceste tactici de distribuție au fost dezvăluite de CERT-ul sectorului bancar din Thailanda (TB-CERT) și Biroul de investigare a criminalității cibernetice (CCIB) în noiembrie 2023.

Rafinamentul GoldPickaxe este demonstrat în continuare de capacitatea sa de a ocoli măsurile de securitate impuse în Thailanda. Aceste măsuri obligă utilizatorii să confirme tranzacții mai semnificative folosind recunoașterea facială pentru a preveni frauda. GoldPickaxe solicită ingenios victimelor să înregistreze un videoclip ca metodă de confirmare în cadrul aplicației înșelătoare. Videoclipul înregistrat servește drept materie primă pentru realizarea de videoclipuri deepfake prin intermediul serviciilor de inteligență artificială cu schimb de fețe.

Mai mult, atât variantele Android, cât și iOS ale malware-ului au capacitatea de a aduna documentele de identitate și fotografiile victimei, de a intercepta mesajele SMS primite și de a direcționa traficul prin dispozitivul compromis. Există suspiciunea că actorii GoldFactory își folosesc propriile dispozitive pentru a se conecta la aplicațiile bancare și pentru a efectua transferuri de fonduri neautorizate.

Diferențele dintre versiunile GoldPickaxe iOS și Android

Versiunea pentru iOS a GoldPickaxe demonstrează mai puține funcționalități în comparație cu omologul său Android. Această discrepanță este atribuită naturii închise a sistemului de operare iOS și protocoalelor sale de permisiuni relativ stricte.

Varianta Android, văzută ca un succesor evolutiv al GoldDiggerPlus, se deghizează în peste 20 de aplicații diferite asociate guvernului, sectorului financiar și companiilor de utilități din Thailanda. Scopul său principal este să fure acreditările de conectare de la aceste servicii. Cu toate acestea, intențiile exacte ale actorilor amenințărilor cu aceste informații adunate rămân neclare.

O altă caracteristică remarcabilă a malware-ului este exploatarea serviciilor de accesibilitate Android pentru a înregistra apăsările de taste și a captura conținut de pe ecran.