GoldPickaxe 行動惡意軟體從 Android 和 iOS 裝置竊取

GoldFactory 是一名能說流利中文的威脅參與者，因開發高級銀行木馬而受到讚譽，其中包括以前未報告的名為 GoldPickaxe 的 iOS 惡意軟體。該惡意軟體擅長提取身分證件、臉部辨識資料和攔截簡訊。 GoldPickaxe家族相容於iOS和Android平台，而GoldFactory被認為是一個組織嚴密的中文網路犯罪組織，據信與Gigabud關係密切。

GoldFactory 至少自 2023 年中期開始活躍，它還負責基於 Android 的銀行惡意軟體 GoldDigger 及其高級版本 GoldDiggerPlus，以及 GoldKefu（GoldDiggerPlus 中的嵌入式木馬）。

該惡意軟體透過針對亞太地區（特別是泰國和越南）的社會工程活動進行傳播。攻擊者利用網路釣魚和網路釣魚訊息，引導受害者切換到 LINE 等即時通訊應用程序，然後發送欺騙性 URL，從而安裝 GoldPickaxe。對於 Android，一些惡意應用程式託管在類似於 Google Play 商店頁面或假冒公司網站的假冒網站上。

透過惡意 URL 分發的 iOS 變體

iOS 版 GoldPickaxe 遵循獨特的分發策略，利用 Apple 的 TestFlight 平台和誘殺 URL 提示用戶下載行動裝置管理 (MDM) 設定文件，從而授予對 iOS 裝置安裝流氓應用程式的完全控制權。

GoldPickaxe 的複雜性顯而易見，它能夠繞過泰國實施的安全措施，該措施要求用戶使用臉部辨識來確認較大的交易，以防止詐欺。 GoldPickaxe 提示受害者在虛假應用程式中錄製影片進行確認，利用這些影片作為透過換臉人工智慧服務創建深度偽造影片的原材料。

該惡意軟體的 Android 和 iOS 變體都能夠收集身分證件和照片、攔截簡訊以及透過受感染的裝置代理流量。有人懷疑 GoldFactory 參與者使用自己的裝置登入銀行應用程式並執行未經授權的資金轉帳。泰國銀行業 CERT (TB-CERT) 和網路犯罪調查局 (CCIB) 於 2023 年 11 月揭露了這些傳播機制。