A GoldPickaxe mobil rosszindulatú szoftverek Android- és iOS-eszközökről is lopnak
A GoldFactory, a kínaiul folyékonyan beszélő fenyegetésekkel foglalkozó szereplő, fejlett banki trójai programokat fejlesztett ki, köztük a GoldPickaxe nevű, korábban nem jelentett iOS kártevőt. Ez a rosszindulatú szoftver alkalmas a személyazonossági okmányok, arcfelismerő adatok kinyerésére és SMS-ek lehallgatására. A GoldPickaxe család iOS és Android platformokkal is kompatibilis, és a GoldFactory, amelyet jól szervezett kínaiul beszélő kiberbűnözői csoportként azonosítanak, szoros kapcsolatban áll a Gigabuddal.
A legalább 2023 közepe óta működő GoldFactory emellett felelős a GoldDigger néven ismert Android-alapú banki kártevőért és annak fejlett verziójáért, a GoldDiggerPlusért, valamint a GoldKefuért, a GoldDiggerPlus beágyazott trójaiért.
A rosszindulatú programokat social engineering kampányokon keresztül terjesztik, amelyek az ázsiai-csendes-óceáni térséget célozzák, különösen Thaiföldet és Vietnamot. A támadók félrevezető és adathalász üzeneteket alkalmaznak, és arra utasítják az áldozatokat, hogy váltsanak azonnali üzenetküldő alkalmazásokra, mint például a LINE, majd megtévesztő URL-eket küldenek, amelyek a GoldPickaxe telepítéséhez vezetnek. Android esetén bizonyos rosszindulatú alkalmazásokat a Google Play Áruház oldalaira emlékeztető hamis webhelyek vagy hamisított vállalati webhelyek tárolnak.
Rosszindulatú URL-eken keresztül terjesztett iOS-változat
A GoldPickaxe for iOS egy külön terjesztési stratégiát követ, az Apple TestFlight platformját és a csapdába esett URL-eket használva, amelyek arra késztetik a felhasználókat, hogy töltsenek le egy mobileszköz-kezelési (MDM) profilt, teljes irányítást biztosítva az iOS-eszközök felett a szélhámos alkalmazás telepítéséhez.
A GoldPickaxe kifinomultsága nyilvánvaló abban, hogy képes megkerülni a Thaiföld által bevezetett biztonsági intézkedéseket, amelyek arra kötelezik a felhasználókat, hogy a nagyobb tranzakciókat arcfelismeréssel erősítsék meg a csalás megelőzése érdekében. A GoldPickaxe arra kéri az áldozatokat, hogy rögzítsenek egy videót megerősítés céljából a hamis alkalmazáson belül, és ezeket a videókat nyersanyagként használják fel mélyhamisított videók készítéséhez arccserélő AI-szolgáltatásokon keresztül.
A kártevő Android- és iOS-változata egyaránt képes személyazonosító okmányok és fényképek gyűjtésére, SMS-üzenetek lehallgatására és a forgalom proxy-továbbítására a feltört eszközökön keresztül. Fennáll a gyanú, hogy a GoldFactory szereplői saját eszközeiket használják a banki alkalmazásokba való bejelentkezéshez és jogosulatlan pénzátutalások végrehajtásához. Ezeket a terjedési mechanizmusokat a thaiföldi banki szektor CERT (TB-CERT) és a Cyber Crime Investigation Bureau (CCIB) hozta nyilvánosságra 2023 novemberében.