GoldPickaxe Mobile Malware ruba da dispositivi Android e iOS
GoldFactory, un attore di minacce che parla fluentemente cinese, è accreditato dello sviluppo di trojan bancari avanzati, incluso un malware iOS precedentemente non segnalato chiamato GoldPickaxe. Questo software dannoso è in grado di estrarre documenti di identità, dati di riconoscimento facciale e intercettare SMS. La famiglia GoldPickaxe è compatibile sia con le piattaforme iOS che Android e si ritiene che GoldFactory, identificato come un gruppo di criminalità informatica ben organizzato di lingua cinese, abbia stretti legami con Gigabud.
Attivo almeno dalla metà del 2023, GoldFactory è anche responsabile di un malware bancario basato su Android noto come GoldDigger e della sua versione avanzata GoldDiggerPlus, insieme a GoldKefu, un trojan incorporato in GoldDiggerPlus.
Il malware viene distribuito attraverso campagne di ingegneria sociale rivolte alla regione Asia-Pacifico, in particolare Tailandia e Vietnam. Gli aggressori utilizzano messaggi di smishing e phishing, indirizzando le vittime a passare ad app di messaggistica istantanea come LINE, seguite dall'invio di URL ingannevoli che portano all'installazione di GoldPickaxe. Per Android, alcune app dannose sono ospitate su siti Web falsi che assomigliano alle pagine del Google Play Store o ai siti aziendali contraffatti.
Variante iOS distribuita tramite URL dannosi
GoldPickaxe per iOS segue una strategia di distribuzione distinta, utilizzando la piattaforma TestFlight di Apple e URL contenenti trappole esplosive che spingono gli utenti a scaricare un profilo MDM (Mobile Device Management), garantendo il controllo completo sui dispositivi iOS per l'installazione dell'app canaglia.
La sofisticatezza di GoldPickaxe è evidente nella sua capacità di eludere le misure di sicurezza implementate dalla Thailandia, che impongono agli utenti di confermare transazioni più grandi utilizzando il riconoscimento facciale per prevenire le frodi. GoldPickaxe invita le vittime a registrare un video per conferma all'interno dell'applicazione falsa, utilizzando questi video come materia prima per creare video deepfake attraverso servizi di intelligenza artificiale con scambio di volti.
Sia la variante Android che quella iOS del malware sono in grado di raccogliere documenti d'identità e foto, intercettare messaggi SMS e inoltrare il traffico attraverso dispositivi compromessi. Si sospetta che gli attori di GoldFactory utilizzino i propri dispositivi per accedere alle applicazioni bancarie ed eseguire trasferimenti di fondi non autorizzati. Questi meccanismi di propagazione sono stati divulgati dal CERT del settore bancario tailandese (TB-CERT) e dal Cyber Crime Investigation Bureau (CCIB) nel novembre 2023.