Το GoldPickaxe Mobile Malware κλέβει τόσο από συσκευές Android όσο και από iOS
Το GoldFactory, ένας παράγοντας απειλών που μιλάει άπταιστα τα κινέζικα, πιστώνεται με την ανάπτυξη προηγμένων τραπεζικών trojans, συμπεριλαμβανομένου ενός κακόβουλου λογισμικού iOS που δεν είχε αναφερθεί προηγουμένως με το όνομα GoldPickaxe. Αυτό το κακόβουλο λογισμικό είναι έμπειρο στην εξαγωγή εγγράφων ταυτότητας, δεδομένων αναγνώρισης προσώπου και υποκλοπής SMS. Η οικογένεια GoldPickaxe είναι συμβατή τόσο με τις πλατφόρμες iOS όσο και με Android και το GoldFactory, που προσδιορίζεται ως μια καλά οργανωμένη κινεζόφωνη ομάδα εγκλήματος στον κυβερνοχώρο, πιστεύεται ότι έχει στενούς δεσμούς με την Gigabud.
Ενεργό τουλάχιστον από τα μέσα του 2023, το GoldFactory είναι επίσης υπεύθυνο για ένα τραπεζικό κακόβουλο λογισμικό που βασίζεται σε Android, γνωστό ως GoldDigger και την προηγμένη έκδοση του GoldDiggerPlus, μαζί με το GoldKefu, ένα ενσωματωμένο trojan στο GoldDiggerPlus.
Το κακόβουλο λογισμικό διανέμεται μέσω εκστρατειών κοινωνικής μηχανικής που στοχεύουν στην περιοχή Ασίας-Ειρηνικού, ιδιαίτερα στην Ταϊλάνδη και το Βιετνάμ. Οι εισβολείς χρησιμοποιούν μηνύματα smishing και phishing, κατευθύνοντας τα θύματα να μεταβούν σε εφαρμογές ανταλλαγής άμεσων μηνυμάτων όπως το LINE, ακολουθούμενα από την αποστολή παραπλανητικών URL που οδηγούν στην εγκατάσταση του GoldPickaxe. Για το Android, ορισμένες κακόβουλες εφαρμογές φιλοξενούνται σε ψεύτικους ιστότοπους που μοιάζουν με σελίδες του Google Play Store ή πλαστούς εταιρικούς ιστότοπους.
Παραλλαγή iOS που διανέμεται μέσω κακόβουλων διευθύνσεων URL
Το GoldPickaxe για iOS ακολουθεί μια ξεχωριστή στρατηγική διανομής, χρησιμοποιώντας την πλατφόρμα TestFlight της Apple και τις παγιδευμένες διευθύνσεις URL που προτρέπουν τους χρήστες να κατεβάσουν ένα προφίλ Διαχείρισης φορητών συσκευών (MDM), παρέχοντας πλήρη έλεγχο σε συσκευές iOS για την εγκατάσταση της απατεώνων εφαρμογής.
Η πολυπλοκότητα του GoldPickaxe είναι εμφανής στην ικανότητά του να παρακάμπτει τα μέτρα ασφαλείας που εφαρμόζει η Ταϊλάνδη, τα οποία υποχρεώνουν τους χρήστες να επιβεβαιώνουν μεγαλύτερες συναλλαγές χρησιμοποιώντας την αναγνώριση προσώπου για την αποφυγή απάτης. Το GoldPickaxe προτρέπει τα θύματα να εγγράψουν ένα βίντεο για επιβεβαίωση μέσα στην ψεύτικη εφαρμογή, χρησιμοποιώντας αυτά τα βίντεο ως πρώτη ύλη για τη δημιουργία deepfake βίντεο μέσω υπηρεσιών τεχνητής νοημοσύνης που εναλλάσσουν πρόσωπα.
Τόσο οι παραλλαγές Android όσο και iOS του κακόβουλου λογισμικού είναι σε θέση να συλλέγουν έγγραφα ταυτότητας και φωτογραφίες, να υποκλοπούν μηνύματα SMS και να διαμεσολαβούν την κυκλοφορία μέσω παραβιασμένων συσκευών. Υπάρχουν υποψίες ότι οι ηθοποιοί του GoldFactory χρησιμοποιούν τις δικές τους συσκευές για να συνδεθούν σε τραπεζικές εφαρμογές και να εκτελέσουν μη εξουσιοδοτημένες μεταφορές κεφαλαίων. Αυτοί οι μηχανισμοί διάδοσης αποκαλύφθηκαν από τον Τραπεζικό Τομέα της Ταϊλάνδης CERT (TB-CERT) και το Γραφείο Διερεύνησης του Κυβερνοεγκλήματος (CCIB) τον Νοέμβριο του 2023.
