„GoldPickaxe Mobile“ kenkėjiška programa vagiama iš „Android“ ir „iOS“ įrenginių
„GoldFactory“, grėsmių veikėjas, laisvai kalbantis kinų kalba, yra priskiriamas pažangių bankininkystės Trojos arklių kūrimui, įskaitant anksčiau nepraneštą „iOS“ kenkėjišką programą „GoldPickaxe“. Ši kenkėjiška programinė įranga puikiai tinka išgauti tapatybės dokumentus, veido atpažinimo duomenis ir perimti SMS. „GoldPickaxe“ šeima yra suderinama su „iOS“ ir „Android“ platformomis, o „GoldFactory“, įvardijama kaip gerai organizuota kiniškai kalbanti kibernetinių nusikaltimų grupė, palaiko glaudžius ryšius su „Gigabud“.
Nuo 2023 m. vidurio veikianti „GoldFactory“ taip pat yra atsakinga už „Android“ pagrįstą bankininkystės kenkėjišką programą, žinomą kaip „GoldDigger“, ir jos pažangią versiją „GoldDiggerPlus“, taip pat „GoldKefu“, įterptąjį „GoldDiggerPlus“ Trojos arklį.
Kenkėjiška programa platinama per socialinės inžinerijos kampanijas, skirtas Azijos ir Ramiojo vandenyno regionui, ypač Tailandui ir Vietnamui. Užpuolikai naudoja klaidinimo ir sukčiavimo pranešimus, nukreipdami aukas persijungti į momentinių pranešimų programas, tokias kaip LINE, o po to siunčia apgaulingus URL, vedančius į GoldPickaxe įdiegimą. „Android“ sistemoje kai kurios kenkėjiškos programos yra priglobtos netikrose svetainėse, panašiose į „Google Play“ parduotuvės puslapius arba suklastotas įmonių svetaines.
„iOS“ variantas, platinamas per kenkėjiškus URL
„GoldPickaxe“, skirta „iOS“, vadovaujasi atskira platinimo strategija, naudodama „Apple“ platformą „TestFlight“ ir įstrigusius URL, raginančius vartotojus atsisiųsti mobiliųjų įrenginių valdymo (MDM) profilį, suteikiantį visišką „iOS“ įrenginių valdymą, kad būtų galima įdiegti nesąžiningą programą.
„GoldPickaxe“ rafinuotumas akivaizdus dėl jos gebėjimo apeiti Tailando įdiegtas saugumo priemones, kurios įpareigoja vartotojus patvirtinti didesnes operacijas naudojant veido atpažinimo funkciją, kad būtų išvengta sukčiavimo. „GoldPickaxe“ ragina aukas įrašyti vaizdo įrašą, kad būtų patvirtinta netikra programa, naudojant šiuos vaizdo įrašus kaip žaliavą kuriant netikrus vaizdo įrašus naudojant veido keitimo AI paslaugas.
Tiek „Android“, tiek „iOS“ kenkėjiškos programos variantai gali rinkti asmens tapatybės dokumentus ir nuotraukas, perimti SMS žinutes ir perduoti srautą per pažeistus įrenginius. Kyla įtarimų, kad „GoldFactory“ aktoriai naudoja savo įrenginius, kad prisijungtų prie banko programų ir vykdytų neteisėtus lėšų pervedimus. Šiuos platinimo mechanizmus 2023 m. lapkričio mėn. atskleidė Tailando bankininkystės sektoriaus CERT (TB-CERT) ir Kibernetinių nusikaltimų tyrimo biuras (CCIB).
