GoldPickaxe mobiele malware steelt van zowel Android- als iOS-apparaten
GoldFactory, een bedreigingsacteur die vloeiend Chinees spreekt, wordt gecrediteerd voor de ontwikkeling van geavanceerde banktrojans, waaronder een niet eerder gerapporteerde iOS-malware genaamd GoldPickaxe. Deze kwaadaardige software is bedreven in het extraheren van identiteitsdocumenten, gezichtsherkenningsgegevens en het onderscheppen van sms-berichten. De GoldPickaxe-familie is compatibel met zowel iOS- als Android-platforms, en GoldFactory, geïdentificeerd als een goed georganiseerde Chineessprekende cybercriminaliteitsgroep, zou nauwe banden hebben met Gigabud.
GoldFactory is actief sinds ten minste medio 2023 en is ook verantwoordelijk voor een op Android gebaseerde bankmalware die bekend staat als GoldDigger en de geavanceerde versie GoldDiggerPlus, samen met GoldKefu, een ingebedde trojan binnen GoldDiggerPlus.
De malware wordt verspreid via social engineering-campagnes die zich richten op de regio Azië-Pacific, met name Thailand en Vietnam. De aanvallers maken gebruik van smishing- en phishing-berichten, waarbij de slachtoffers worden overgezet naar instant messaging-apps zoals LINE, gevolgd door het verzenden van misleidende URL's die leiden tot de installatie van GoldPickaxe. Voor Android worden sommige kwaadaardige apps gehost op nepwebsites die lijken op Google Play Store-pagina's of op valse bedrijfssites.
iOS-variant verspreid via kwaadaardige URL's
GoldPickaxe voor iOS volgt een duidelijke distributiestrategie, waarbij gebruik wordt gemaakt van het TestFlight-platform van Apple en boobytraps-URL's die gebruikers vragen een Mobile Device Management (MDM)-profiel te downloaden, waardoor volledige controle over iOS-apparaten wordt verleend voor de installatie van de frauduleuze app.
De verfijning van GoldPickaxe komt duidelijk tot uiting in zijn vermogen om door Thailand geïmplementeerde beveiligingsmaatregelen te omzeilen, die gebruikers verplichten grotere transacties te bevestigen met behulp van gezichtsherkenning om fraude te voorkomen. GoldPickaxe vraagt slachtoffers om een video op te nemen ter bevestiging binnen de nep-applicatie, waarbij deze video's worden gebruikt als ruw materiaal voor het maken van deepfake-video's via face-swapping AI-services.
Zowel de Android- als de iOS-variant van de malware zijn in staat identiteitsdocumenten en foto's te verzamelen, sms-berichten te onderscheppen en verkeer via gecompromitteerde apparaten te proxyen. Er zijn vermoedens dat GoldFactory-actoren hun eigen apparaten gebruiken om in te loggen op bankapplicaties en ongeautoriseerde geldoverboekingen uit te voeren. Deze verspreidingsmechanismen werden in november 2023 onthuld door de Thailand Banking Sector CERT (TB-CERT) en het Cyber Crime Investigation Bureau (CCIB).
