Банківський троян GoldPickaxe
Витончений загрозник, відомий як GoldFactory, вільно розмовляє китайською мовою, був ідентифікований як творець просунутих банківських троянів. Одним із їхніх останніх творінь є незадокументована шкідлива програма для iOS під назвою GoldPickaxe, яка здатна збирати документи, що засвідчують особу, дані розпізнавання облич і перехоплювати SMS.
Дослідники підтвердили, що сімейство GoldPickaxe націлено як на платформи iOS, так і на Android. Кіберзлочинна група GoldFactory, яка вважається добре організованою та розмовляє китайською мовою, тісно пов’язана з Gigabud.
Працюючи принаймні з середини 2023 року, GoldFactory відповідає за розробку шкідливого банківського програмного забезпечення GoldDigger для Android, а також його покращеного варіанту GoldDiggerPlus. Крім того, вони створили GoldKefu, вбудований троян у GoldDiggerPlus.
Зміст
Зловмисники використовують різні методи фішингу для розгортання GoldPickaxe
Виявлено загрозливі кампанії соціальної інженерії, які поширюють шкідливі програми, зосереджені на Азіатсько-Тихоокеанському регіоні, зокрема в Таїланді та В’єтнамі. Зловмисники маскуються під місцеві банки та державні установи.
Під час цих цілеспрямованих атак люди отримують оманливі смішингові та фішингові повідомлення, спонукаючи їх перевести розмову на програми обміну миттєвими повідомленнями, такі як LINE. Згодом зловмисники надсилають шахрайські URL-адреси, що призводить до встановлення GoldPickaxe на пристрої жертв.
Певні небезпечні програми, створені для Android, розміщуються на підроблених веб-сайтах, імітуючи сторінки магазину Google Play або підроблені корпоративні сайти, щоб успішно виконати процес встановлення.
Нова тактика кіберзлочинців GoldFactory
Метод розповсюдження GoldPickaxe для iOS відрізняється, використовуючи унікальний підхід. Він використовує платформу TestFlight від Apple і міновані URL-адреси. Ці URL-адреси спонукають користувачів завантажувати профіль керування мобільними пристроями (MDM), надаючи повний контроль над пристроями iOS і полегшуючи встановлення шахрайської програми. Обидві ці тактики розповсюдження були виявлені CERT банківського сектору Таїланду (TB-CERT) і Бюро з розслідування кіберзлочинів (CCIB) у листопаді 2023 року.
Витонченість GoldPickaxe додатково демонструється його здатністю обходити заходи безпеки, введені в Таїланді. Ці заходи зобов’язують користувачів підтверджувати більш значні транзакції за допомогою розпізнавання обличчя, щоб запобігти шахрайству. GoldPickaxe геніально пропонує жертвам записати відео як метод підтвердження в оманливій програмі. Записане відео служить сировиною для створення глибоких фейкових відео за допомогою служб штучного інтелекту зі зміною обличчя.
Крім того, як Android, так і iOS варіанти зловмисного програмного забезпечення мають можливість збирати ідентифікаційні документи жертви та фотографії, перехоплювати вхідні SMS-повідомлення та направляти трафік через скомпрометований пристрій. Є підозри, що актори GoldFactory використовують власні пристрої для входу в банківські додатки та виконання неавторизованих переказів коштів.
Відмінності між версіями GoldPickaxe для iOS і Android
iOS-версія GoldPickaxe демонструє менше функціональних можливостей порівняно з Android-версією. Ця розбіжність пояснюється закритою природою операційної системи iOS і її відносно суворими протоколами дозволів.
Варіант Android, який розглядається як еволюційний наступник GoldDiggerPlus, маскується під понад 20 різних програм, пов’язаних з урядом, фінансовим сектором та комунальними компаніями Таїланду. Його основна мета — викрасти облікові дані для входу в ці служби. Однак точні наміри учасників загрози щодо цієї зібраної інформації залишаються незрозумілими.
Ще одна примітна характеристика зловмисного програмного забезпечення — це використання служб доступності Android для запису натискань клавіш і запису вмісту на екрані.
