ГолдПицкаке банкарски тројанац
Софистицирани актер претњи познат као ГолдФацтори, течно говори кинески, идентификован је као креатор напредних банкарских тројанаца. Једна од њихових најновијих креација је недокументовани малвер за иОС под називом ГолдПицкаке, који је способан да прикупља личне документе и податке о препознавању лица и пресреће СМС.
Истраживачи су потврдили да породица ГолдПицкаке циља и на иОС и Андроид платформе. Група за кибернетички криминал ГолдФацтори за коју се верује да је добро организована и да говори кинески, уско је повезана са Гигабудом.
ГолдФацтори послује најмање од средине 2023. године, а одговоран је за развој банковног малвера ГолдДиггер заснованог на Андроиду, заједно са његовом побољшаном варијантом ГолдДиггерПлус. Поред тога, креирали су ГолдКефу, уграђени тројанац унутар ГолдДиггерПлус-а.
Преглед садржаја
Нападачи користе различите технике пхисхинг-а да би применили ГолдПицкаке
Идентификоване су претеће кампање друштвеног инжењеринга које шире злонамерни софтвер, фокусирајући се на азијско-пацифички регион, посебно на Тајланд и Вијетнам. Нападачи се маскирају у локалне банке и владине субјекте.
У овим циљаним нападима, појединци примају обмањујуће и пхисхинг поруке, што их наводи да пребаце разговор на апликације за тренутне поруке као што је ЛИНЕ. Након тога, нападачи шаљу лажне УРЛ адресе, што доводи до инсталирања ГолдПицкаке-а на уређаје жртава.
Одређене несигурне апликације дизајниране за Андроид се хостују на фалсификованим веб локацијама, имитирајући странице Гоогле Плаи продавнице или лажне корпоративне сајтове, како би се процес инсталације успешно обавио.
Нове тактике које су приказали сајбер криминалци ГолдФацтори
ГолдПицкаке-ов метод дистрибуције за иОС се разликује, користећи јединствен приступ. Користи Аппле-ову платформу ТестФлигхт и користи заробљене УРЛ-ове. Ови УРЛ-ови подстичу кориснике да преузму профил за управљање мобилним уређајима (МДМ), дајући потпуну контролу над иОС уређајима и олакшавајући инсталацију лажне апликације. Обе ове тактике дистрибуције открили су ЦЕРТ банкарског сектора Тајланда (ТБ-ЦЕРТ) и Биро за истраживање сајбер криминала (ЦЦИБ) у новембру 2023.
Софистицираност ГолдПицкаке-а даље се показује његовом способношћу да заобиђе мере безбедности наметнуте на Тајланду. Ове мере обавезују кориснике да потврђују значајније трансакције користећи препознавање лица како би се спречиле преваре. ГолдПицкаке генијално подстиче жртве да сниме видео као метод потврде у оквиру обмањујуће апликације. Снимљени видео служи као сировина за прављење дубоких лажних видео записа путем услуга вештачке интелигенције за замену лица.
Штавише, и Андроид и иОС варијанте малвера поседују могућност прикупљања личних докумената и фотографија жртве, пресретања долазних СМС порука и усмеравања саобраћаја кроз компромитовани уређај. Постоји сумња да актери ГолдФацтори-а користе сопствене уређаје за пријављивање на банкарске апликације и извршавање неовлашћених трансфера средстава.
Разлике између иОС и Андроид верзија ГолдПицкаке
иОС верзија ГолдПицкаке-а показује мање функционалности у поређењу са Андроид колегом. Ово неслагање се приписује затвореној природи иОС оперативног система и његовим релативно строгим протоколима дозвола.
Андроид варијанта, која се сматра еволутивним наследником ГолдДиггерПлус-а, прикрива се у преко 20 различитих апликација повезаних са владом Тајланда, финансијским сектором и комуналним предузећима. Његов примарни циљ је крађа акредитива за пријаву са ових услуга. Међутим, тачне намере актера претњи са овим прикупљеним информацијама остају нејасне.
Још једна значајна карактеристика малвера је његова експлоатација Андроид-ових услуга приступачности за снимање притисака на тастере и снимање садржаја на екрану.
