Банковский троян GoldPickaxe
Сложный злоумышленник, известный как GoldFactory, свободно владеющий китайским языком, был идентифицирован как создатель продвинутых банковских троянов. Одним из их последних творений является недокументированная вредоносная программа для iOS под названием GoldPickaxe, которая способна собирать документы, удостоверяющие личность, данные распознавания лиц и перехватывать SMS.
Исследователи подтвердили, что семейство GoldPickaxe предназначено как для платформ iOS, так и для Android. Киберпреступная группа GoldFactory, которая считается хорошо организованной и говорит по-китайски, тесно связана с Gigabud.
GoldFactory работает как минимум с середины 2023 года и отвечает за разработку банковского вредоносного ПО GoldDigger для Android, а также его расширенного варианта GoldDiggerPlus. Кроме того, они создали GoldKefu, встроенный в GoldDiggerPlus троян.
Оглавление
Злоумышленники используют различные методы фишинга для внедрения GoldPickaxe
Были выявлены угрожающие кампании социальной инженерии, распространяющие вредоносное ПО, сосредоточенные на Азиатско-Тихоокеанском регионе, особенно в Таиланде и Вьетнаме. Злоумышленники маскируются под местные банки и государственные учреждения.
В ходе этих целенаправленных атак люди получают обманчивые смишинговые и фишинговые сообщения, побуждающие их переключить разговор на приложения для обмена мгновенными сообщениями, такие как LINE. Впоследствии злоумышленники отправляют мошеннические URL-адреса, что приводит к установке GoldPickaxe на устройства жертв.
Некоторые небезопасные приложения, разработанные для Android, размещаются на поддельных веб-сайтах, имитирующих страницы Google Play Store или поддельные корпоративные сайты, чтобы успешно выполнить процесс установки.
Новая тактика киберпреступников GoldFactory
Метод распространения GoldPickaxe для iOS отличается и использует уникальный подход. Он использует платформу Apple TestFlight и использует заминированные URL-адреса. Эти URL-адреса побуждают пользователей загружать профиль управления мобильными устройствами (MDM), предоставляя полный контроль над устройствами iOS и облегчая установку мошеннического приложения. Обе эти тактики распространения были раскрыты CERT банковского сектора Таиланда (TB-CERT) и Бюро по расследованию киберпреступлений (CCIB) в ноябре 2023 года.
Сложность GoldPickaxe еще раз подтверждается его способностью обходить меры безопасности, введенные в Таиланде. Эти меры обязывают пользователей подтверждать более важные транзакции с помощью распознавания лиц для предотвращения мошенничества. GoldPickaxe изобретательно предлагает жертвам записать видео в качестве метода подтверждения в мошенническом приложении. Записанное видео служит исходным материалом для создания дипфейковых видеороликов с помощью служб искусственного интеллекта, подменяющих лица.
Более того, оба варианта вредоносного ПО для Android и iOS обладают способностью собирать документы, удостоверяющие личность жертвы, и фотографии, перехватывать входящие SMS-сообщения и перенаправлять трафик через взломанное устройство. Есть подозрение, что участники GoldFactory используют свои собственные устройства для входа в банковские приложения и выполнения несанкционированных переводов средств.
Различия между версиями GoldPickaxe для iOS и Android
Версия GoldPickaxe для iOS демонстрирует меньше функциональных возможностей по сравнению с аналогом для Android. Это несоответствие объясняется закрытостью операционной системы iOS и ее относительно строгими протоколами разрешений.
Вариант Android, рассматриваемый как эволюционный преемник GoldDiggerPlus, маскируется под более чем 20 различных приложений, связанных с правительством Таиланда, финансовым сектором и коммунальными компаниями. Его основная цель — украсть учетные данные для входа в эти службы. Однако точные намерения злоумышленников, использующих эту собранную информацию, остаются неясными.
Еще одной примечательной особенностью вредоносного ПО является использование служб специальных возможностей Android для записи нажатий клавиш и захвата содержимого экрана.
