GoldPickaxe Banking Trojan
Ang isang sopistikadong aktor ng pagbabanta na kilala bilang GoldFactory, matatas sa wikang Chinese, ay kinilala bilang lumikha ng mga advanced na Trojan sa pagbabangko. Ang isa sa kanilang pinakabagong mga likha ay isang undocumented iOS malware na pinangalanang GoldPickaxe, na may kakayahang mag-harvest ng mga dokumento ng pagkakakilanlan at data ng pagkilala sa mukha at humarang sa SMS.
Na-verify ng mga mananaliksik na tina-target ng pamilyang GoldPickaxe ang parehong mga platform ng iOS at Android. Ang GoldFactory cybercrime group na pinaniniwalaang maayos at nagsasalita ng Chinese, ay malapit na nauugnay sa Gigabud.
Nagpapatakbo mula noong hindi bababa sa kalagitnaan ng 2023, ang GoldFactory ay responsable para sa pagbuo ng banking malware na nakabase sa Android na GoldDigger, kasama ang pinahusay na variant nito na GoldDiggerPlus. Bukod pa rito, lumikha sila ng GoldKefu, isang naka-embed na Trojan sa loob ng GoldDiggerPlus.
Talaan ng mga Nilalaman
Gumagamit ang Mga Attacker ng Iba't Ibang Phishing Technique para Mag-deploy ng GoldPickaxe
Natukoy ang mga nagbabantang kampanya sa social engineering na nagkakalat ng malware, na nakatuon sa rehiyon ng Asia-Pacific, partikular sa Thailand at Vietnam. Ang mga umaatake ay nagkukunwari bilang mga lokal na bangko at mga entidad ng gobyerno.
Sa mga naka-target na pag-atake na ito, ang mga indibidwal ay tumatanggap ng mapanlinlang na smishing at phishing na mga mensahe, na nag-uudyok sa kanila na ilipat ang pag-uusap sa mga instant messaging app gaya ng LINE. Kasunod nito, ang mga umaatake ay nagpapadala ng mga mapanlinlang na URL, na humahantong sa pag-install ng GoldPickaxe sa mga device ng mga biktima.
Ang ilang partikular na hindi ligtas na application na idinisenyo para sa Android ay naka-host sa mga pekeng website, na ginagaya ang mga page ng Google Play Store o mga pekeng corporate site, upang matagumpay na maisagawa ang proseso ng pag-install.
Mga Bagong Taktika na Ipinakita ng GoldFactory Cybercriminals
Ang paraan ng pamamahagi ng GoldPickaxe para sa iOS ay naiiba, na gumagamit ng isang natatanging diskarte. Ginagamit nito ang platform ng TestFlight ng Apple at gumagamit ng mga URL na na-trap ng booby. Hinihikayat ng mga URL na ito ang mga user na mag-download ng profile ng Mobile Device Management (MDM), na nagbibigay ng kumpletong kontrol sa mga iOS device at pinapadali ang pag-install ng rogue app. Ang parehong mga taktika sa pamamahagi ay inihayag ng Thailand Banking Sector CERT (TB-CERT) at ng Cyber Crime Investigation Bureau (CCIB) noong Nobyembre 2023.
Ang pagiging sopistikado ng GoldPickaxe ay higit na ipinakita sa pamamagitan ng kakayahang iwasan ang mga hakbang sa seguridad na ipinataw sa Thailand. Ang mga hakbang na ito ay nag-uutos sa mga user na kumpirmahin ang mas makabuluhang mga transaksyon gamit ang pagkilala sa mukha upang maiwasan ang panloloko. Ang GoldPickaxe ay mapanlikhang nag-udyok sa mga biktima na mag-record ng isang video bilang isang paraan ng pagkumpirma sa loob ng mapanlinlang na aplikasyon. Ang na-record na video ay nagsisilbing raw material para sa paggawa ng mga deepfake na video sa pamamagitan ng face-swapping artificial intelligence services.
Bukod dito, parehong may kakayahan ang Android at iOS na mga variant ng malware na kolektahin ang mga dokumento at larawan ng ID ng biktima, harangin ang mga papasok na mensaheng SMS at ruta ang trapiko sa pamamagitan ng nakompromisong device. May hinala na ang mga aktor ng GoldFactory ay gumagamit ng kanilang sariling mga aparato upang mag-sign in sa mga aplikasyon sa bangko at magsagawa ng mga hindi awtorisadong paglilipat ng pondo.
Mga Pagkakaiba sa Pagitan ng iOS at Android GoldPickaxe Bersyon
Ang bersyon ng iOS ng GoldPickaxe ay nagpapakita ng mas kaunting mga functionality kumpara sa Android counterpart nito. Ang pagkakaibang ito ay nauugnay sa saradong katangian ng operating system ng iOS at sa medyo mahigpit nitong mga protocol ng pahintulot.
Ang variant ng Android, na nakikita bilang isang evolutionary successor sa GoldDiggerPlus, ay nagpapakilala sa sarili bilang higit sa 20 iba't ibang mga application na nauugnay sa gobyerno, sektor ng pananalapi, at mga utility ng Thailand. Ang pangunahing layunin nito ay kunin ang mga kredensyal sa pag-log in mula sa mga serbisyong ito. Gayunpaman, ang eksaktong intensyon ng mga aktor ng pagbabanta na may ganitong nakalap na impormasyon ay nananatiling hindi malinaw.
Ang isa pang kapansin-pansing katangian ng malware ay ang pagsasamantala nito sa mga serbisyo ng pagiging naa-access ng Android upang mag-record ng mga keystroke at kumuha ng on-screen na nilalaman.
