Мобильное вредоносное ПО GoldPickaxe ворует с устройств Android и iOS
GoldFactory, злоумышленнику, свободно владеющему китайским языком, приписывают разработку продвинутых банковских троянов, в том числе ранее не зарегистрированного вредоносного ПО для iOS под названием GoldPickaxe. Это вредоносное программное обеспечение умеет извлекать документы, удостоверяющие личность, данные распознавания лиц и перехватывать SMS. Семейство GoldPickaxe совместимо с платформами iOS и Android, а GoldFactory, известная как хорошо организованная китайскоязычная группа по борьбе с киберпреступностью, как полагают, имеет тесные связи с Gigabud.
GoldFactory, действующая как минимум с середины 2023 года, также несет ответственность за банковское вредоносное ПО для Android, известное как GoldDigger, и его расширенную версию GoldDiggerPlus, а также GoldKefu, встроенный троян в GoldDiggerPlus.
Вредоносное ПО распространяется посредством кампаний социальной инженерии, нацеленных на Азиатско-Тихоокеанский регион, особенно на Таиланд и Вьетнам. Злоумышленники используют смишинговые и фишинговые сообщения, предлагая жертвам переключиться на приложения для обмена мгновенными сообщениями, такие как LINE, с последующей отправкой обманных URL-адресов, ведущих к установке GoldPickaxe. Для Android некоторые вредоносные приложения размещаются на поддельных веб-сайтах, напоминающих страницы Google Play Store или поддельные корпоративные сайты.
Вариант iOS, распространяемый через вредоносные URL-адреса
GoldPickaxe для iOS придерживается четкой стратегии распространения, используя платформу Apple TestFlight и заминированные URL-адреса, предлагающие пользователям загрузить профиль управления мобильными устройствами (MDM), предоставляющий полный контроль над устройствами iOS для установки мошеннического приложения.
Сложность GoldPickaxe проявляется в его способности обходить меры безопасности, введенные Таиландом, которые обязывают пользователей подтверждать более крупные транзакции с использованием распознавания лиц для предотвращения мошенничества. GoldPickaxe предлагает жертвам записать видео для подтверждения в поддельном приложении, используя эти видео в качестве исходного материала для создания дипфейковых видеороликов с помощью сервисов искусственного интеллекта по подмене лиц.
Варианты вредоносного ПО для Android и iOS способны собирать документы, удостоверяющие личность, и фотографии, перехватывать SMS-сообщения и проксировать трафик через взломанные устройства. Есть подозрения, что участники GoldFactory используют свои собственные устройства для входа в банковские приложения и выполнения несанкционированных переводов средств. Эти механизмы распространения были раскрыты CERT банковского сектора Таиланда (TB-CERT) и Бюро по расследованию киберпреступлений (CCIB) в ноябре 2023 года.