GoldPickaxe Mobile Malware stiehlt sowohl Android- als auch iOS-Geräte
GoldFactory, ein Bedrohungsakteur, der fließend Chinesisch spricht, wird die Entwicklung fortschrittlicher Banktrojaner zugeschrieben, darunter eine bisher nicht gemeldete iOS-Malware namens GoldPickaxe. Diese Schadsoftware ist in der Lage, Ausweisdokumente und Gesichtserkennungsdaten zu extrahieren und SMS abzufangen. Die GoldPickaxe-Familie ist sowohl mit iOS- als auch mit Android-Plattformen kompatibel, und GoldFactory, die als gut organisierte chinesischsprachige Cyberkriminalitätsgruppe gilt, soll enge Verbindungen zu Gigabud haben.
GoldFactory ist seit mindestens Mitte 2023 aktiv und verantwortlich für eine Android-basierte Banking-Malware namens GoldDigger und deren fortgeschrittene Version GoldDiggerPlus sowie für GoldKefu, einen eingebetteten Trojaner in GoldDiggerPlus.
Die Malware wird über Social-Engineering-Kampagnen verbreitet, die auf den asiatisch-pazifischen Raum, insbesondere Thailand und Vietnam, abzielen. Die Angreifer verwenden Smishing- und Phishing-Nachrichten, um die Opfer dazu zu verleiten, zu Instant-Messaging-Apps wie LINE zu wechseln, und senden anschließend irreführende URLs, die zur Installation von GoldPickaxe führen. Für Android werden einige bösartige Apps auf gefälschten Websites gehostet, die Google Play Store-Seiten ähneln, oder auf gefälschten Unternehmensseiten.
Über bösartige URLs verbreitete iOS-Variante
GoldPickaxe für iOS verfolgt eine besondere Vertriebsstrategie und nutzt die TestFlight-Plattform von Apple sowie mit Sprengfallen versehene URLs, die Benutzer dazu auffordern, ein MDM-Profil (Mobile Device Management) herunterzuladen, wodurch vollständige Kontrolle über iOS-Geräte für die Installation der betrügerischen App gewährt wird.
Die Raffinesse von GoldPickaxe zeigt sich in seiner Fähigkeit, die von Thailand eingeführten Sicherheitsmaßnahmen zu umgehen, die Benutzer dazu verpflichten, größere Transaktionen mithilfe der Gesichtserkennung zu bestätigen, um Betrug zu verhindern. GoldPickaxe fordert Opfer dazu auf, ein Video zur Bestätigung innerhalb der gefälschten Anwendung aufzunehmen und nutzt diese Videos als Rohmaterial für die Erstellung von Deepfake-Videos durch Face-Swapping-KI-Dienste.
Sowohl die Android- als auch die iOS-Variante der Malware sind in der Lage, Ausweisdokumente und Fotos zu sammeln, SMS-Nachrichten abzufangen und den Datenverkehr über kompromittierte Geräte weiterzuleiten. Es besteht der Verdacht, dass GoldFactory-Akteure ihre eigenen Geräte verwenden, um sich bei Bankanwendungen anzumelden und nicht autorisierte Geldtransfers durchzuführen. Diese Verbreitungsmechanismen wurden im November 2023 vom Thailand Banking Sector CERT (TB-CERT) und dem Cyber Crime Investigation Bureau (CCIB) offengelegt.