Złośliwe oprogramowanie mobilne GoldPickaxe kradnie zarówno z urządzeń z systemem Android, jak i iOS
GoldFactory, cyberprzestępca biegle władający językiem chińskim, jest uznawany za twórcę zaawansowanych trojanów bankowych, w tym niezgłoszonego wcześniej szkodliwego oprogramowania dla systemu iOS o nazwie GoldPickakxe. To złośliwe oprogramowanie doskonale potrafi wyodrębniać dokumenty tożsamości, dane dotyczące rozpoznawania twarzy i przechwytywać SMS-y. Rodzina GoldPickaxe jest kompatybilna zarówno z platformami iOS, jak i Android. Uważa się, że GoldFactory, identyfikowana jako dobrze zorganizowana chińskojęzyczna grupa cyberprzestępcza, ma bliskie powiązania z Gigabudem.
Aktywny od co najmniej połowy 2023 r. GoldFactory jest również odpowiedzialny za szkodliwe oprogramowanie bankowe dla systemu Android znane jako GoldDigger i jego zaawansowaną wersję GoldDiggerPlus, a także GoldKefu, trojan osadzony w GoldDiggerPlus.
Szkodnik jest rozpowszechniany za pośrednictwem kampanii socjotechnicznych skierowanych do regionu Azji i Pacyfiku, w szczególności Tajlandii i Wietnamu. Napastnicy wykorzystują wiadomości smishingowe i phishingowe, kierując ofiary do korzystania z komunikatorów internetowych, takich jak LINE, a następnie wysyłając zwodnicze adresy URL prowadzące do instalacji GoldPickaxe. W przypadku Androida niektóre złośliwe aplikacje są hostowane w fałszywych witrynach przypominających strony Sklepu Google Play lub fałszywe witryny firmowe.
Wariant systemu iOS rozpowszechniany za pośrednictwem złośliwych adresów URL
GoldPickaxe na iOS stosuje odrębną strategię dystrybucji, wykorzystując platformę Apple TestFlight i adresy URL-pułapki, zachęcające użytkowników do pobrania profilu zarządzania urządzeniami mobilnymi (MDM), zapewniającego pełną kontrolę nad urządzeniami z systemem iOS w celu instalacji fałszywej aplikacji.
Zaawansowanie GoldPickaxe jest widoczne w jego zdolności do obchodzenia środków bezpieczeństwa wdrożonych przez Tajlandię, które nakładają na użytkowników obowiązek potwierdzania większych transakcji za pomocą rozpoznawania twarzy w celu zapobiegania oszustwom. GoldPickaxe namawia ofiary do nagrania filmu w celu potwierdzenia w fałszywej aplikacji, wykorzystując te filmy jako surowiec do tworzenia fałszywych filmów za pośrednictwem usług sztucznej inteligencji polegających na zamianie twarzy.
Zarówno warianty szkodliwego oprogramowania dla systemu Android, jak i iOS potrafią zbierać dokumenty tożsamości i zdjęcia, przechwytywać wiadomości SMS i pośredniczyć w ruchu sieciowym za pośrednictwem zaatakowanych urządzeń. Istnieją podejrzenia, że aktorzy GoldFactory wykorzystują własne urządzenia do logowania się do aplikacji bankowych i wykonywania nieautoryzowanych przelewów środków. Te mechanizmy rozprzestrzeniania zostały ujawnione przez Tajlandzki Sektor Bankowy CERT (TB-CERT) i Biuro Dochodzeniowe ds. Cyberprzestępczości (CCIB) w listopadzie 2023 r.
