GoldPickaxe Bankacılık Truva Atı
GoldFactory olarak bilinen ve Çinceyi akıcı bir şekilde konuşabilen sofistike bir tehdit aktörünün, gelişmiş bankacılık Truva atlarının yaratıcısı olduğu belirlendi. En son icatlarından biri, kimlik belgelerini ve yüz tanıma verilerini toplayıp SMS'lere müdahale edebilen GoldPickaxe adlı belgelenmemiş bir iOS kötü amaçlı yazılımıdır.
Araştırmacılar GoldPickaxe ailesinin hem iOS hem de Android platformlarını hedeflediğini doğruladı. İyi organize olduklarına ve Çince konuştuklarına inanılan GoldFactory siber suç grubu, Gigabud ile yakından bağlantılıdır.
En azından 2023'ün ortasından bu yana faaliyet gösteren GoldFactory, Android tabanlı bankacılık kötü amaçlı yazılımı GoldDigger'ın ve geliştirilmiş versiyonu GoldDiggerPlus'ın geliştirilmesinden sorumludur. Ayrıca GoldDiggerPlus'ın içinde gömülü bir Truva atı olan GoldKefu'yu da yarattılar.
İçindekiler
Saldırganlar GoldPickaxe'ı Dağıtmak İçin Çeşitli Kimlik Avı Tekniklerini Kullanıyor
Başta Tayland ve Vietnam olmak üzere Asya-Pasifik bölgesine odaklanan, kötü amaçlı yazılım yayan tehdit edici sosyal mühendislik kampanyaları belirlendi. Saldırganlar kendilerini yerel bankalar ve devlet kurumları gibi gösteriyor.
Bu hedefli saldırılarda bireyler yanıltıcı smishing ve phishing mesajları alıyor ve bu da sohbeti LINE gibi anlık mesajlaşma uygulamalarına kaydırmalarına neden oluyor. Daha sonra saldırganlar sahte URL'ler göndererek kurbanların cihazlarına GoldPickaxe kurulmasına yol açıyor.
Android için tasarlanmış bazı güvenli olmayan uygulamalar, kurulum işleminin başarıyla gerçekleştirilmesi için Google Play Store sayfalarını veya sahte kurumsal siteleri taklit eden sahte web sitelerinde barındırılmaktadır.
GoldFactory Siber Suçlularının Gösterdiği Yeni Taktikler
GoldPickaxe'ın iOS için dağıtım yöntemi farklıdır ve benzersiz bir yaklaşım kullanır. Apple'ın TestFlight platformunu kullanıyor ve bubi tuzaklı URL'ler kullanıyor. Bu URL'ler, kullanıcıları bir Mobil Cihaz Yönetimi (MDM) profili indirmeye teşvik ederek iOS cihazları üzerinde tam kontrol sağlar ve hileli uygulamanın kurulumunu kolaylaştırır. Bu dağıtım taktiklerinin her ikisi de Tayland Bankacılık Sektörü CERT (TB-CERT) ve Siber Suç Araştırma Bürosu (CCIB) tarafından Kasım 2023'te ortaya çıkarıldı.
GoldPickaxe'ın karmaşıklığı, Tayland'da uygulanan güvenlik önlemlerini aşma yeteneğiyle de kanıtlanıyor. Bu önlemler, kullanıcıların sahtekarlığı önlemek için yüz tanımayı kullanarak daha önemli işlemleri onaylamasını zorunlu kılıyor. GoldPickaxe, aldatıcı uygulama içinde doğrulama yöntemi olarak kurbanlardan ustaca bir video kaydetmelerini ister. Kaydedilen video, yüz değiştiren yapay zeka hizmetleri aracılığıyla deepfake videolar oluşturmak için hammadde görevi görüyor.
Dahası, kötü amaçlı yazılımın hem Android hem de iOS versiyonları, kurbanın kimlik belgelerini ve fotoğraflarını toplama, gelen SMS mesajlarına müdahale etme ve trafiği ele geçirilen cihaz üzerinden yönlendirme yeteneğine sahip. GoldFactory oyuncularının banka uygulamalarında oturum açmak ve yetkisiz fon transferleri gerçekleştirmek için kendi cihazlarını kullandıklarına dair şüpheler var.
iOS ve Android GoldPickaxe Sürümleri Arasındaki Farklar
GoldPickaxe'ın iOS sürümü, Android muadili ile karşılaştırıldığında daha az işlevsellik gösterir. Bu tutarsızlık, iOS işletim sisteminin kapalı yapısına ve nispeten katı izin protokollerine bağlanıyor.
GoldDiggerPlus'ın evrimsel halefi olarak görülen Android versiyonu, kendisini Tayland hükümeti, finans sektörü ve kamu hizmetleri şirketleriyle ilişkili 20'den fazla farklı uygulama olarak gizlemektedir. Birincil hedefi bu hizmetlerden oturum açma kimlik bilgilerini çalmaktır. Ancak tehdit aktörlerinin toplanan bu bilgilerle ilgili kesin niyetleri belirsizliğini koruyor.
Kötü amaçlı yazılımın bir diğer dikkat çekici özelliği, tuş vuruşlarını kaydetmek ve ekrandaki içeriği yakalamak için Android'in erişilebilirlik hizmetlerinden yararlanmasıdır.
