Bančni trojanec GoldPickaxe
Prefinjen igralec groženj, znan kot GoldFactory, ki tekoče govori kitajščino, je bil identificiran kot ustvarjalec naprednih bančnih trojancev. Ena izmed njihovih najnovejših stvaritev je nedokumentirana zlonamerna programska oprema iOS z imenom GoldPickaxe, ki je sposobna pridobivanja osebnih dokumentov in podatkov o prepoznavanju obraza ter prestrezanja SMS-ov.
Raziskovalci so potrdili, da družina GoldPickaxe cilja na platformi iOS in Android. Kibernetska kriminalna skupina GoldFactory, ki naj bi bila dobro organizirana in govori kitajsko, je tesno povezana z Gigabudom.
GoldFactory, ki deluje vsaj od sredine leta 2023, je odgovoren za razvoj zlonamerne bančne programske opreme GoldDigger, ki temelji na sistemu Android, skupaj z njeno izboljšano različico GoldDiggerPlus. Poleg tega so ustvarili GoldKefu, vgrajenega trojanca znotraj GoldDiggerPlus.
Kazalo
Napadalci uporabljajo različne tehnike lažnega predstavljanja za namestitev GoldPickaxe
Ugotovljene so bile nevarne kampanje socialnega inženiringa, ki širijo zlonamerno programsko opremo, s poudarkom na azijsko-pacifiški regiji, zlasti na Tajskem in v Vietnamu. Napadalci se preoblečejo v lokalne banke in vladne subjekte.
V teh ciljno usmerjenih napadih posamezniki prejmejo zavajajoča sporočila smishing in phishing, kar jih spodbudi, da preusmerijo pogovor na aplikacije za neposredno sporočanje, kot je LINE. Nato napadalci pošljejo goljufive URL-je, kar vodi do namestitve GoldPickaxe v naprave žrtev.
Nekatere nevarne aplikacije, zasnovane za Android, gostujejo na ponarejenih spletnih mestih, ki posnemajo strani Trgovine Google Play ali lažna spletna mesta podjetij, da bi uspešno izvedli postopek namestitve.
Nove taktike kibernetskih kriminalcev GoldFactory
Distribucijska metoda GoldPickaxe za iOS se razlikuje in uporablja edinstven pristop. Uporablja Applovo platformo TestFlight in uporablja URL-je z minami. Ti URL-ji spodbujajo uporabnike k prenosu profila za upravljanje mobilnih naprav (MDM), kar omogoča popoln nadzor nad napravami iOS in olajša namestitev lažne aplikacije. Obe taktiki distribucije sta novembra 2023 razkrila CERT tajskega bančnega sektorja (TB-CERT) in Urad za preiskovanje kibernetskega kriminala (CCIB).
Prefinjenost GoldPickaxe dodatno dokazuje njegova sposobnost izogibanja varnostnim ukrepom, uvedenim na Tajskem. Ti ukrepi zahtevajo, da uporabniki potrdijo pomembnejše transakcije s prepoznavanjem obraza, da preprečijo goljufije. GoldPickaxe domiselno pozove žrtve, da posnamejo videoposnetek kot potrditveno metodo znotraj zavajajoče aplikacije. Posneti videoposnetek služi kot surovina za ustvarjanje videoposnetkov deepfake prek storitev umetne inteligence, ki zamenjajo obraz.
Poleg tega imata različici zlonamerne programske opreme za Android in iOS zmožnost zbiranja osebnih dokumentov in fotografij žrtve, prestrezanja dohodnih sporočil SMS in usmerjanja prometa skozi ogroženo napravo. Obstaja sum, da akterji GoldFactory uporabljajo svoje naprave za prijavo v bančne aplikacije in izvajanje nepooblaščenih prenosov sredstev.
Razlike med različicama GoldPickaxe za iOS in Android
Različica GoldPickaxe za iOS ima manj funkcij v primerjavi s svojo različico za Android. To neskladje je pripisano zaprti naravi operacijskega sistema iOS in njegovih razmeroma strogih protokolih dovoljenj.
Različica Androida, ki velja za evolucijskega naslednika GoldDiggerPlus, se prikriva kot več kot 20 različnih aplikacij, povezanih s tajsko vlado, finančnim sektorjem in komunalnimi podjetji. Njegov glavni cilj je ukradti poverilnice za prijavo iz teh storitev. Vendar natančni nameni akterjev grožnje s temi zbranimi informacijami ostajajo nejasni.
Druga pomembna značilnost zlonamerne programske opreme je njeno izkoriščanje storitev dostopnosti Androida za snemanje pritiskov tipk in zajemanje vsebine na zaslonu.
