GoldPickaxe mobil skadelig programvare stjeler fra både Android- og iOS-enheter
GoldFactory, en trusselaktør som snakker flytende kinesisk, er kreditert for å utvikle avanserte banktrojanere, inkludert en tidligere urapportert iOS-skadevare kalt GoldPickaxe. Denne ondsinnede programvaren er dyktig til å trekke ut identitetsdokumenter, ansiktsgjenkjenningsdata og avskjære SMS. GoldPickaxe-familien er kompatibel med både iOS- og Android-plattformer, og GoldFactory, identifisert som en velorganisert kinesisktalende nettkriminalitetsgruppe, antas å ha nære bånd til Gigabud.
GoldFactory, som har vært aktiv siden minst midten av 2023, er også ansvarlig for en Android-basert bankskadevare kjent som GoldDigger og dens avanserte versjon GoldDiggerPlus, sammen med GoldKefu, en innebygd trojan i GoldDiggerPlus.
Skadevaren distribueres gjennom sosiale ingeniørkampanjer rettet mot Asia-Stillehavsregionen, spesielt Thailand og Vietnam. Angriperne bruker smishing- og phishing-meldinger, og ber ofre om å bytte til direktemeldingsapper som LINE, etterfulgt av å sende villedende URL-er som fører til installasjon av GoldPickaxe. For Android ligger noen ondsinnede apper på falske nettsteder som ligner Google Play Store-sider eller forfalskede bedriftssider.
iOS-variant distribuert gjennom ondsinnede URL-er
GoldPickaxe for iOS følger en distinkt distribusjonsstrategi, ved å bruke Apples TestFlight-plattform og booby-fangede URL-er som ber brukere om å laste ned en Mobile Device Management (MDM)-profil, og gir full kontroll over iOS-enheter for installasjonen av den falske appen.
Det sofistikerte til GoldPickaxe er tydelig i dens evne til å omgå sikkerhetstiltak implementert av Thailand, som gir brukere mandat til å bekrefte større transaksjoner ved å bruke ansiktsgjenkjenning for å forhindre svindel. GoldPickaxe ber ofrene om å spille inn en video for bekreftelse i den falske applikasjonen, ved å bruke disse videoene som råmateriale for å lage dypfalske videoer gjennom ansiktsbytte AI-tjenester.
Både Android- og iOS-variantene av skadelig programvare er i stand til å samle inn ID-dokumenter og bilder, avskjære SMS-meldinger og gi proxy trafikk gjennom kompromitterte enheter. Det er mistanker om at GoldFactory-aktører bruker sine egne enheter for å logge på bankapplikasjoner og utføre uautoriserte pengeoverføringer. Disse spredningsmekanismene ble avslørt av Thailand Banking Sector CERT (TB-CERT) og Cyber Crime Investigation Bureau (CCIB) i november 2023.