GoldPickaxe Banking Trojan

Një aktor i sofistikuar kërcënimi i njohur si GoldFactory, që flet rrjedhshëm gjuhën kineze, është identifikuar si krijuesi i trojanëve të avancuar bankar. Një nga krijimet e tyre më të fundit është një malware pa dokumente iOS i quajtur GoldPickaxe, i cili është në gjendje të mbledhë dokumente identiteti dhe të dhëna për njohjen e fytyrës dhe të përgjojë SMS.

Studiuesit kanë verifikuar se familja GoldPickaxe synon të dyja platformat iOS dhe Android. Grupi i krimit kibernetik GoldFactory që besohet të jetë i mirëorganizuar dhe që flet kinezisht, është i lidhur ngushtë me Gigabud.

Duke operuar që të paktën nga mesi i vitit 2023, GoldFactory është përgjegjëse për zhvillimin e malware bankar me bazë Android GoldDigger, së bashku me variantin e tij të përmirësuar GoldDiggerPlus. Përveç kësaj, ata kanë krijuar GoldKefu, një Trojan i integruar brenda GoldDiggerPlus.

Sulmuesit përdorin teknika të ndryshme phishing për të vendosur GoldPickaxe

Janë identifikuar fushata kërcënuese të inxhinierisë sociale që përhapin malware, duke u fokusuar në rajonin Azi-Paqësor, veçanërisht në Tajlandë dhe Vietnam. Sulmuesit maskohen si banka lokale dhe entitete qeveritare.

Në këto sulme të synuara, individët marrin mesazhe mashtruese të goditjes dhe phishing, duke i shtyrë ata të zhvendosin bisedën në aplikacionet e mesazheve të çastit si LINE. Më pas, sulmuesit dërgojnë URL mashtruese, duke çuar në instalimin e GoldPickaxe në pajisjet e viktimave.

Disa aplikacione të pasigurta të krijuara për Android strehohen në faqe interneti të falsifikuara, duke imituar faqet e "Dyqanit të Google Play" ose faqet e korporatave të rreme, për të kryer me sukses procesin e instalimit.

Taktika të reja të shfaqura nga kriminelët kibernetikë të GoldFactory

Metoda e shpërndarjes së GoldPickaxe për iOS ndryshon, duke përdorur një qasje unike. Ai përdor platformën TestFlight të Apple dhe përdor URL-të e bllokuara. Këto URL inkurajojnë përdoruesit të shkarkojnë një profil të Menaxhimit të Pajisjeve celulare (MDM), duke dhënë kontroll të plotë mbi pajisjet iOS dhe duke lehtësuar instalimin e aplikacionit mashtrues. Të dyja këto taktika të shpërndarjes u zbuluan nga Sektori Bankar i Tajlandës CERT (TB-CERT) dhe Byroja e Hetimit të Krimit Kibernetik (CCIB) në nëntor 2023.

Sofistikimi i GoldPickaxe tregohet më tej nga aftësia e tij për të anashkaluar masat e sigurisë të vendosura në Tajlandë. Këto masa i detyrojnë përdoruesit të konfirmojnë transaksione më të rëndësishme duke përdorur njohjen e fytyrës për të parandaluar mashtrimin. GoldPickaxe në mënyrë gjeniale i nxit viktimat të regjistrojnë një video si një metodë konfirmimi brenda aplikacionit mashtrues. Videoja e regjistruar shërben si lëndë e parë për krijimin e videove të falsifikuara përmes shërbimeve të inteligjencës artificiale të shkëmbimit të fytyrave.

Për më tepër, të dy variantet Android dhe iOS të malware kanë aftësinë për të mbledhur dokumentet dhe fotot e identitetit të viktimës, për të përgjuar mesazhet SMS në hyrje dhe për të drejtuar trafikun përmes pajisjes së komprometuar. Ka dyshime se aktorët e GoldFactory përdorin pajisjet e tyre për të hyrë në aplikacionet bankare dhe për të ekzekutuar transferta të paautorizuara fondesh.

Dallimet midis versioneve iOS dhe Android GoldPickaxe

Versioni iOS i GoldPickaxe demonstron më pak funksionalitete në krahasim me homologun e tij Android. Kjo mospërputhje i atribuohet natyrës së mbyllur të sistemit operativ iOS dhe protokolleve të tij relativisht të rrepta të lejes.

Varianti i Android, i parë si një pasardhës evolucionar i GoldDiggerPlus, maskohet si mbi 20 aplikacione të ndryshme të lidhura me qeverinë, sektorin financiar dhe kompanitë e shërbimeve të Tajlandës. Qëllimi i tij kryesor është të grabisë kredencialet e hyrjes nga këto shërbime. Megjithatë, qëllimet e sakta të aktorëve të kërcënimit me këtë informacion të mbledhur mbeten të paqarta.

Një tjetër karakteristikë e rëndësishme e malware është shfrytëzimi i shërbimeve të aksesueshmërisë së Android-it për të regjistruar goditjet e tasteve dhe për të kapur përmbajtjen në ekran.