GoldPickaxe 银行木马

一个名为 GoldFactory 的老练威胁行为者精通中文，已被确定为高级银行木马的创建者。他们的最新作品之一是一种名为 GoldPickaxe 的未记录的 iOS 恶意软件，它能够收集身份证件和面部识别数据并拦截短信。

研究人员已证实 GoldPickaxe 系列同时针对 iOS 和 Android 平台。据信，GoldFactory 网络犯罪组织组织严密，并且会讲中文，与Gigabud 关系密切。

GoldFactory 至少自 2023 年中期开始运营，负责开发基于 Android 的银行恶意软件GoldDigger及其增强变体 GoldDiggerPlus。此外，他们还创建了 GoldKefu，这是 GoldDiggerPlus 中的嵌入式木马。

攻击者利用各种网络钓鱼技术部署 GoldPickaxe

已发现传播恶意软件的威胁性社会工程活动，主要集中在亚太地区，特别是泰国和越南。攻击者将自己伪装成当地银行和政府实体。

在这些有针对性的攻击中，个人会收到欺骗性的短信和网络钓鱼消息，促使他们将对话转移到 LINE 等即时通讯应用程序。随后，攻击者发送欺诈性 URL，导致受害者的设备上安装 GoldPickaxe。

某些专为 Android 设计的不安全应用程序托管在假冒网站上，模仿 Google Play 商店页面或假冒公司网站，以成功执行安装过程。

GoldFactory 网络犯罪分子展示的新策略

GoldPickaxe 针对 iOS 的分发方法有所不同，采用了独特的方法。它利用 Apple 的 TestFlight 平台并使用诱杀 URL。这些 URL 鼓励用户下载移动设备管理 (MDM) 配置文件，从而授予对 iOS 设备的完全控制权并促进恶意应用程序的安装。泰国银行业 CERT (TB-CERT) 和网络犯罪调查局 (CCIB) 于 2023 年 11 月披露了这两种分发策略。

GoldPickaxe 的复杂性进一步体现在它能够规避泰国实施的安全措施。这些措施要求用户使用面部识别来确认更重要的交易，以防止欺诈。 GoldPickaxe 巧妙地提示受害者录制视频，作为欺骗性应用程序中的确认方法。录制的视频可作为通过换脸人工智能服务制作深度换脸视频的原材料。

此外，该恶意软件的 Android 和 iOS 变体都能够收集受害者的身份证件和照片、拦截传入的 SMS 消息并通过受感染的设备路由流量。有人怀疑 GoldFactory 参与者使用自己的设备登录银行应用程序并执行未经授权的资金转账。

iOS 和 Android GoldPickaxe 版本之间的差异

与 Android 版本相比，iOS 版本的 GoldPickaxe 显示的功能较少。这种差异归因于iOS操作系统的封闭性及其相对严格的权限协议。

Android 变体被视为 GoldDiggerPlus 的进化继承者，将自己伪装成 20 多个与泰国政府、金融部门和公用事业公司相关的不同应用程序。其主要目标是从这些服务中窃取登录凭据。然而，威胁行为者掌握这些收集到的信息的确切意图仍不清楚。

该恶意软件的另一个值得注意的特征是它利用 Android 的辅助服务来记录击键并捕获屏幕内容。