GoldPickaxe Mobile Malware rouba dispositivos Android e iOS
GoldFactory, um ator de ameaças fluente em chinês, é responsável pelo desenvolvimento de trojans bancários avançados, incluindo um malware para iOS anteriormente não relatado chamado GoldPickaxe. Este software malicioso é especialista em extrair documentos de identidade, dados de reconhecimento facial e interceptar SMS. A família GoldPickaxe é compatível com as plataformas iOS e Android, e acredita-se que o GoldFactory, identificado como um grupo bem organizado de crimes cibernéticos de língua chinesa, tenha laços estreitos com o Gigabud.
Ativo desde pelo menos meados de 2023, o GoldFactory também é responsável por um malware bancário baseado em Android conhecido como GoldDigger e sua versão avançada GoldDiggerPlus, junto com o GoldKefu, um trojan incorporado ao GoldDiggerPlus.
O malware é distribuído através de campanhas de engenharia social direcionadas à região Ásia-Pacífico, particularmente à Tailândia e ao Vietname. Os invasores empregam mensagens smishing e phishing, orientando as vítimas a mudarem para aplicativos de mensagens instantâneas como o LINE, seguido pelo envio de URLs enganosos que levam à instalação do GoldPickaxe. Para Android, alguns aplicativos maliciosos são hospedados em sites falsos que lembram páginas da Google Play Store ou sites corporativos falsificados.
Variante iOS distribuída por meio de URLs maliciosos
GoldPickaxe para iOS segue uma estratégia de distribuição distinta, utilizando a plataforma TestFlight da Apple e URLs armadilhados que solicitam aos usuários que baixem um perfil de gerenciamento de dispositivos móveis (MDM), garantindo controle completo sobre dispositivos iOS para a instalação do aplicativo não autorizado.
A sofisticação do GoldPickaxe é evidente na sua capacidade de contornar as medidas de segurança implementadas pela Tailândia, que obrigam os utilizadores a confirmar transações maiores utilizando o reconhecimento facial para evitar fraudes. GoldPickaxe solicita que as vítimas gravem um vídeo para confirmação dentro do aplicativo falso, utilizando esses vídeos como matéria-prima para a criação de vídeos deepfake por meio de serviços de IA de troca de rosto.
Ambas as variantes do malware para Android e iOS são capazes de coletar documentos de identificação e fotos, interceptar mensagens SMS e fazer proxy do tráfego através de dispositivos comprometidos. Há suspeitas de que os atores da GoldFactory usem seus próprios dispositivos para fazer login em aplicativos bancários e executar transferências não autorizadas de fundos. Estes mecanismos de propagação foram divulgados pelo CERT do Setor Bancário da Tailândia (TB-CERT) e pelo Gabinete de Investigação de Crimes Cibernéticos (CCIB) em novembro de 2023.