GoldPickaxe 移动恶意软件从 Android 和 iOS 设备窃取
GoldFactory 是一名能说流利中文的威胁参与者,因开发高级银行木马而受到赞誉,其中包括以前未报告的名为 GoldPickaxe 的 iOS 恶意软件。该恶意软件擅长提取身份证件、面部识别数据和拦截短信。 GoldPickaxe家族兼容iOS和Android平台,而GoldFactory被认为是一个组织严密的中文网络犯罪组织,据信与Gigabud关系密切。
GoldFactory 至少自 2023 年中期开始活跃,它还负责基于 Android 的银行恶意软件 GoldDigger 及其高级版本 GoldDiggerPlus,以及 GoldKefu(GoldDiggerPlus 中的嵌入式木马)。
该恶意软件通过针对亚太地区(特别是泰国和越南)的社会工程活动进行传播。攻击者利用网络钓鱼和网络钓鱼消息,引导受害者切换到 LINE 等即时通讯应用程序,然后发送欺骗性 URL,从而安装 GoldPickaxe。对于 Android,一些恶意应用程序托管在类似于 Google Play 商店页面或假冒公司网站的假冒网站上。
通过恶意 URL 分发的 iOS 变体
iOS 版 GoldPickaxe 遵循独特的分发策略,利用 Apple 的 TestFlight 平台和诱杀 URL 提示用户下载移动设备管理 (MDM) 配置文件,从而授予对 iOS 设备安装流氓应用程序的完全控制权。
GoldPickaxe 的复杂性显而易见,它能够绕过泰国实施的安全措施,该措施要求用户使用面部识别来确认较大的交易,以防止欺诈。 GoldPickaxe 提示受害者在虚假应用程序中录制视频进行确认,利用这些视频作为通过换脸人工智能服务创建深度伪造视频的原材料。
该恶意软件的 Android 和 iOS 变体都能够收集身份证件和照片、拦截短信以及通过受感染的设备代理流量。有人怀疑 GoldFactory 参与者使用自己的设备登录银行应用程序并执行未经授权的资金转账。泰国银行业 CERT (TB-CERT) 和网络犯罪调查局 (CCIB) 于 2023 年 11 月披露了这些传播机制。