GoldPickaxe Banking Trojan
En sofistikerad hotaktör känd som GoldFactory, som talar flytande kinesiska, har identifierats som skaparen av avancerade banktrojaner. En av deras senaste skapelser är en odokumenterad iOS-skadlig kod vid namn GoldPickaxe, som kan samla in identitetsdokument och ansiktsigenkänningsdata och avlyssna SMS.
Forskare har verifierat att GoldPickaxe-familjen riktar sig till både iOS- och Android-plattformar. GoldFactory cyberbrottsgrupp som tros vara välorganiserad och kinesisktalande, är nära kopplad till Gigabud.
GoldFactory, som har varit i drift sedan åtminstone mitten av 2023, är ansvarigt för utvecklingen av den Android-baserade bankskadlig programvara GoldDigger, tillsammans med dess förbättrade variant GoldDiggerPlus. Dessutom har de skapat GoldKefu, en inbäddad trojan inom GoldDiggerPlus.
Innehållsförteckning
Angripare använder olika nätfisketekniker för att distribuera GoldPickaxe
Hotande sociala ingenjörskampanjer som sprider skadlig programvara har identifierats, med fokus på Asien-Stillahavsområdet, särskilt Thailand och Vietnam. Angriparna maskerar sig som lokala banker och statliga enheter.
I dessa riktade attacker får individer vilseledande smishing- och nätfiskemeddelanden, vilket uppmanar dem att flytta konversationen till snabbmeddelandeappar som LINE. Därefter skickar angriparna bedrägliga webbadresser, vilket leder till installation av GoldPickaxe på offrens enheter.
Vissa osäkra applikationer designade för Android finns på förfalskade webbplatser, som efterliknar Google Play Butiks sidor eller falska företagswebbplatser, för att genomföra installationsprocessen framgångsrikt.
Ny taktik som visas av GoldFactory cyberkriminella
GoldPickaxes distributionsmetod för iOS skiljer sig, med ett unikt tillvägagångssätt. Den använder sig av Apples TestFlight-plattform och använder booby-fångade webbadresser. Dessa webbadresser uppmuntrar användare att ladda ner en MDM-profil (Mobile Device Management), vilket ger fullständig kontroll över iOS-enheter och underlättar installationen av den falska appen. Båda dessa distributionstaktiker avslöjades av Thailand Banking Sector CERT (TB-CERT) och Cyber Crime Investigation Bureau (CCIB) i november 2023.
Det sofistikerade hos GoldPickaxe visas ytterligare genom dess förmåga att kringgå säkerhetsåtgärder som införts i Thailand. Dessa åtgärder ger användarna mandat att bekräfta mer betydande transaktioner med hjälp av ansiktsigenkänning för att förhindra bedrägeri. GoldPickaxe uppmanar genialiskt offer att spela in en video som en bekräftelsemetod i den vilseledande applikationen. Den inspelade videon fungerar som råmaterial för att skapa deepfake-videor genom ansiktsbytande artificiell intelligens-tjänster.
Dessutom har både Android- och iOS-varianterna av skadlig programvara förmågan att samla in offrets ID-dokument och foton, avlyssna inkommande SMS-meddelanden och dirigera trafik genom den utsatta enheten. Det finns misstankar om att GoldFactory-aktörerna använder sina egna enheter för att logga in på bankapplikationer och utföra otillåtna överföringar.
Skillnader mellan iOS- och Android GoldPickaxe-versionerna
iOS-versionen av GoldPickaxe visar färre funktioner jämfört med sin Android-motsvarighet. Denna avvikelse tillskrivs iOS-operativsystemets stängda karaktär och dess relativt stränga behörighetsprotokoll.
Android-varianten, som ses som en evolutionär efterföljare till GoldDiggerPlus, klär ut sig som över 20 olika applikationer associerade med Thailands regering, finanssektor och energibolag. Dess primära mål är att stjäla inloggningsuppgifter från dessa tjänster. De exakta avsikterna hos hotaktörerna med denna insamlade information är dock fortfarande oklara.
En annan anmärkningsvärd egenskap hos skadlig programvara är dess utnyttjande av Androids tillgänglighetstjänster för att spela in tangenttryckningar och fånga innehåll på skärmen.
