GoldPickaxe Mobile Malware stjæler fra både Android- og iOS-enheder
GoldFactory, en trusselsaktør, der taler flydende kinesisk, er krediteret for at udvikle avancerede banktrojanske heste, herunder en tidligere urapporteret iOS-malware ved navn GoldPickaxe. Denne ondsindede software er dygtig til at udtrække identitetsdokumenter, ansigtsgenkendelsesdata og opsnappe SMS. GoldPickaxe-familien er kompatibel med både iOS- og Android-platforme, og GoldFactory, der er identificeret som en velorganiseret kinesisk-talende cyberkriminalitetsgruppe, menes at have tætte bånd til Gigabud.
GoldFactory, der har været aktiv siden mindst midten af 2023, er også ansvarlig for en Android-baseret bank-malware kendt som GoldDigger og dens avancerede version GoldDiggerPlus sammen med GoldKefu, en indlejret trojan i GoldDiggerPlus.
Malwaren distribueres gennem social engineering-kampagner rettet mod Asien-Stillehavsområdet, især Thailand og Vietnam. Angriberne anvender smishing- og phishing-beskeder, der leder ofrene til at skifte til instant messaging-apps som LINE, efterfulgt af at sende vildledende URL'er, der fører til installationen af GoldPickaxe. Til Android hostes nogle ondsindede apps på falske websteder, der ligner Google Play Butik-sider eller forfalskede virksomhedswebsteder.
iOS-variant distribueret gennem ondsindede URL'er
GoldPickaxe til iOS følger en særskilt distributionsstrategi, der bruger Apples TestFlight-platform og booby-fangede URL'er, der beder brugerne om at downloade en Mobile Device Management (MDM)-profil, hvilket giver fuld kontrol over iOS-enheder til installationen af den useriøse app.
Det sofistikerede ved GoldPickaxe er tydeligt i dets evne til at omgå sikkerhedsforanstaltninger implementeret af Thailand, som giver brugere mandat til at bekræfte større transaktioner ved hjælp af ansigtsgenkendelse for at forhindre svindel. GoldPickaxe beder ofrene om at optage en video til bekræftelse i den falske applikation, ved at bruge disse videoer som råmateriale til at skabe deepfake-videoer gennem ansigtsbytte AI-tjenester.
Både Android- og iOS-varianterne af malware er i stand til at indsamle id-dokumenter og fotos, opsnappe SMS-beskeder og proxyer trafik gennem kompromitterede enheder. Der er mistanke om, at GoldFactory-aktører bruger deres egne enheder til at logge ind på bankapplikationer og udføre uautoriserede pengeoverførsler. Disse udbredelsesmekanismer blev afsløret af Thailand Banking Sector CERT (TB-CERT) og Cyber Crime Investigation Bureau (CCIB) i november 2023.
