GoldPickaxe mobil skadlig programvara stjäl från både Android- och iOS-enheter
GoldFactory, en hotaktör som talar flytande kinesiska, krediteras för att ha utvecklat avancerade banktrojaner, inklusive en tidigare orapporterad iOS-skadlig kod vid namn GoldPickaxe. Denna skadliga programvara är skicklig på att extrahera identitetsdokument, ansiktsigenkänningsdata och avlyssning av SMS. GoldPickaxe-familjen är kompatibel med både iOS- och Android-plattformar, och GoldFactory, identifierad som en välorganiserad kinesisktalande cyberbrottsgrupp, tros ha nära band till Gigabud.
GoldFactory, som är aktivt sedan åtminstone mitten av 2023, är också ansvarigt för en Android-baserad bankskadlig kod känd som GoldDigger och dess avancerade version GoldDiggerPlus, tillsammans med GoldKefu, en inbäddad trojan inom GoldDiggerPlus.
Skadlig programvara distribueras genom sociala ingenjörskampanjer riktade mot Asien-Stillahavsområdet, särskilt Thailand och Vietnam. Angriparna använder smishing- och nätfiskemeddelanden, och uppmanar offren att byta till appar för snabbmeddelanden som LINE, följt av att skicka vilseledande webbadresser som leder till installationen av GoldPickaxe. För Android finns vissa skadliga appar på falska webbplatser som liknar Google Play Butiks sidor eller förfalskade företagswebbplatser.
iOS-variant distribuerad genom skadliga webbadresser
GoldPickaxe för iOS följer en distinkt distributionsstrategi, med hjälp av Apples TestFlight-plattform och booby-trappade webbadresser som uppmanar användare att ladda ner en Mobile Device Management (MDM)-profil, vilket ger fullständig kontroll över iOS-enheter för installationen av den oseriösa appen.
Det sofistikerade hos GoldPickaxe är uppenbart i dess förmåga att kringgå säkerhetsåtgärder som implementerats av Thailand, som ger användarna mandat att bekräfta större transaktioner med hjälp av ansiktsigenkänning för att förhindra bedrägerier. GoldPickaxe uppmanar offren att spela in en video för bekräftelse i den falska applikationen, och använder dessa videor som råmaterial för att skapa djupfalska videor genom ansiktsbytande AI-tjänster.
Både Android- och iOS-varianterna av skadlig programvara kan samla in ID-dokument och foton, avlyssna SMS-meddelanden och proxysända trafik genom komprometterade enheter. Det finns misstankar om att GoldFactory-aktörer använder sina egna enheter för att logga in på bankapplikationer och utföra obehöriga överföringar. Dessa spridningsmekanismer avslöjades av Thailand Banking Sector CERT (TB-CERT) och Cyber Crime Investigation Bureau (CCIB) i november 2023.
