Le logiciel malveillant GoldPickaxe Mobile vole les appareils Android et iOS
GoldFactory, un acteur malveillant parlant couramment le chinois, est reconnu pour avoir développé des chevaux de Troie bancaires avancés, notamment un malware iOS non signalé nommé GoldPickaxe. Ce logiciel malveillant est capable d'extraire des documents d'identité, des données de reconnaissance faciale et d'intercepter des SMS. La famille GoldPickaxe est compatible avec les plates-formes iOS et Android, et GoldFactory, identifié comme un groupe de cybercriminalité chinois bien organisé, aurait des liens étroits avec Gigabud.
Actif depuis au moins mi-2023, GoldFactory est également responsable d'un malware bancaire basé sur Android connu sous le nom de GoldDigger et de sa version avancée GoldDiggerPlus, ainsi que de GoldKefu, un cheval de Troie intégré à GoldDiggerPlus.
Le malware est distribué via des campagnes d'ingénierie sociale ciblant la région Asie-Pacifique, en particulier la Thaïlande et le Vietnam. Les attaquants utilisent des messages de smishing et de phishing, incitant les victimes à passer à des applications de messagerie instantanée comme LINE, puis à envoyer des URL trompeuses menant à l'installation de GoldPickaxe. Pour Android, certaines applications malveillantes sont hébergées sur de faux sites Web ressemblant à des pages du Google Play Store ou à des sites d'entreprise contrefaits.
Variante iOS distribuée via des URL malveillantes
GoldPickaxe pour iOS suit une stratégie de distribution distincte, utilisant la plate-forme TestFlight d'Apple et des URL piégées invitant les utilisateurs à télécharger un profil de gestion des appareils mobiles (MDM), accordant un contrôle complet sur les appareils iOS pour l'installation de l'application malveillante.
La sophistication de GoldPickaxe est évidente dans sa capacité à contourner les mesures de sécurité mises en œuvre par la Thaïlande, qui obligent les utilisateurs à confirmer des transactions plus importantes en utilisant la reconnaissance faciale pour prévenir la fraude. GoldPickaxe invite les victimes à enregistrer une vidéo pour confirmation dans la fausse application, en utilisant ces vidéos comme matière première pour créer de fausses vidéos via des services d'IA d'échange de visage.
Les variantes Android et iOS du malware sont capables de collecter des documents d'identité et des photos, d'intercepter les messages SMS et de transmettre le trafic via des appareils compromis. On soupçonne que les acteurs de GoldFactory utilisent leurs propres appareils pour se connecter aux applications bancaires et exécuter des transferts de fonds non autorisés. Ces mécanismes de propagation ont été divulgués par le CERT du secteur bancaire thaïlandais (TB-CERT) et le Cyber Crime Investigation Bureau (CCIB) en novembre 2023.
