Trojan ngân hàng GoldPickaxe
Một kẻ đe dọa tinh vi có tên GoldFactory, thông thạo tiếng Trung Quốc, đã được xác định là kẻ tạo ra các Trojan ngân hàng tiên tiến. Một trong những sáng tạo mới nhất của họ là phần mềm độc hại iOS không có giấy tờ có tên GoldPickaxe, có khả năng thu thập tài liệu nhận dạng và dữ liệu nhận dạng khuôn mặt cũng như chặn SMS.
Các nhà nghiên cứu đã xác minh rằng dòng GoldPickaxe nhắm mục tiêu vào cả nền tảng iOS và Android. Nhóm tội phạm mạng GoldFactory được cho là có tổ chức tốt và nói tiếng Trung Quốc, có liên kết chặt chẽ với Gigabud.
Hoạt động ít nhất từ giữa năm 2023, GoldFactory chịu trách nhiệm phát triển phần mềm độc hại ngân hàng GoldDigger dựa trên Android, cùng với biến thể nâng cao GoldDiggerPlus. Ngoài ra, họ đã tạo GoldKefu, một Trojan được nhúng trong GoldDiggerPlus.
Mục lục
Những kẻ tấn công sử dụng nhiều kỹ thuật lừa đảo khác nhau để triển khai GoldPickaxe
Các chiến dịch tấn công lừa đảo trên mạng xã hội, phát tán phần mềm độc hại đã được xác định, tập trung vào khu vực Châu Á - Thái Bình Dương, đặc biệt là Thái Lan và Việt Nam. Những kẻ tấn công cải trang thành các ngân hàng địa phương và các tổ chức chính phủ.
Trong các cuộc tấn công có mục tiêu này, các cá nhân nhận được tin nhắn lừa đảo và lừa đảo, khiến họ chuyển cuộc trò chuyện sang các ứng dụng nhắn tin tức thời như LINE. Sau đó, những kẻ tấn công gửi các URL lừa đảo, dẫn đến việc cài đặt GoldPickaxe trên thiết bị của nạn nhân.
Một số ứng dụng không an toàn được thiết kế cho Android được lưu trữ trên các trang web giả mạo, bắt chước các trang Cửa hàng Google Play hoặc các trang web giả mạo của công ty, để thực hiện quá trình cài đặt thành công.
Chiến thuật mới được bọn tội phạm mạng GoldFactory thực hiện
Phương thức phân phối của GoldPickaxe dành cho iOS khác biệt, sử dụng một cách tiếp cận độc đáo. Nó sử dụng nền tảng TestFlight của Apple và sử dụng các URL bị bẫy. Các URL này khuyến khích người dùng tải xuống cấu hình Quản lý thiết bị di động (MDM), cấp quyền kiểm soát hoàn toàn các thiết bị iOS và tạo điều kiện thuận lợi cho việc cài đặt ứng dụng giả mạo. Cả hai chiến thuật phân phối này đều được CERT ngành ngân hàng Thái Lan (TB-CERT) và Cục điều tra tội phạm mạng (CCIB) tiết lộ vào tháng 11 năm 2023.
Sự tinh vi của GoldPickaxe còn được thể hiện rõ hơn qua khả năng vượt qua các biện pháp an ninh được áp đặt ở Thái Lan. Các biện pháp này yêu cầu người dùng xác nhận các giao dịch quan trọng hơn bằng cách sử dụng nhận dạng khuôn mặt để ngăn chặn gian lận. GoldPickaxe khéo léo nhắc nạn nhân quay video làm phương pháp xác nhận trong ứng dụng lừa đảo. Đoạn video được ghi lại đóng vai trò là nguyên liệu thô để tạo các video deepfake thông qua các dịch vụ trí tuệ nhân tạo hoán đổi khuôn mặt.
Hơn nữa, cả hai biến thể Android và iOS của phần mềm độc hại đều có khả năng thu thập tài liệu và ảnh ID của nạn nhân, chặn tin nhắn SMS đến và định tuyến lưu lượng truy cập qua thiết bị bị xâm nhập. Có nghi ngờ rằng các tác nhân của GoldFactory sử dụng thiết bị của chính họ để đăng nhập vào các ứng dụng ngân hàng và thực hiện chuyển tiền trái phép.
Sự khác biệt giữa phiên bản GoldPickaxe iOS và Android
Phiên bản iOS của GoldPickaxe thể hiện ít chức năng hơn so với phiên bản Android. Sự khác biệt này được cho là do tính chất đóng của hệ điều hành iOS và các giao thức cấp phép tương đối nghiêm ngặt của nó.
Biến thể Android, được coi là sự kế thừa tiến hóa của GoldDiggerPlus, ngụy trang dưới dạng hơn 20 ứng dụng khác nhau liên quan đến chính phủ, khu vực tài chính và các công ty tiện ích của Thái Lan. Mục tiêu chính của nó là đánh cắp thông tin đăng nhập từ các dịch vụ này. Tuy nhiên, ý định chính xác của những kẻ đe dọa với thông tin thu thập được này vẫn chưa rõ ràng.
Một đặc điểm đáng chú ý khác của phần mềm độc hại là khai thác các dịch vụ trợ năng của Android để ghi lại các lần gõ phím và ghi lại nội dung trên màn hình.
