GoldPickaxe バンキング トロイの木馬

GoldFactory として知られ、中国語に堪能な洗練された攻撃者が、高度なバンキング トロイの木馬の作成者として特定されました。彼らの最新の作成物の 1 つは、GoldPickaxe という名前の文書化されていない iOS マルウェアで、ID 文書と顔認識データを収集し、SMS を傍受することができます。

研究者らは、GoldPickaxe ファミリが iOS と Android の両方のプラットフォームをターゲットにしていることを確認しました。 GoldFactory サイバー犯罪グループは、よく組織されており中国語を話すと考えられており、 Gigabud と密接な関係があります。

GoldFactory は、少なくとも 2023 年半ばから活動しており、Android ベースのバンキング マルウェアGoldDigger と、その強化された亜種 GoldDiggerPlus の開発を担当しています。さらに、彼らは、GoldDiggerPlus 内に埋め込まれたトロイの木馬である GoldKefu を作成しました。

攻撃者はさまざまなフィッシング手法を利用して GoldPickaxe を展開します

アジア太平洋地域、特にタイとベトナムを中心に、マルウェアを拡散させる脅威的なソーシャル エンジニアリング キャンペーンが確認されています。攻撃者は地元の銀行や政府機関を装います。

これらの標的型攻撃では、個人が欺瞞的なスミッシング メッセージやフィッシング メッセージを受信し、会話を LINE などのインスタント メッセージング アプリに移すよう促します。その後、攻撃者は不正な URL を送信し、被害者のデバイスに GoldPickaxe がインストールされるようにします。

Android 用に設計された特定の安全でないアプリケーションは、インストール プロセスを正常に実行するために、Google Play ストア ページや偽の企業サイトを模倣した偽 Web サイトでホストされています。

GoldFactory サイバー犯罪者が見せた新たな戦術

iOS 向けの GoldPickaxe の配布方法は異なり、独自のアプローチが採用されています。 Apple の TestFlight プラットフォームを利用し、ブービートラップされた URL を使用します。これらの URL は、ユーザーにモバイル デバイス管理 (MDM) プロファイルのダウンロードを促し、iOS デバイスに対する完全な制御を許可し、不正なアプリのインストールを容易にします。これらの配布戦術は両方とも、2023 年 11 月にタイ銀行セクター CERT (TB-CERT) とサイバー犯罪捜査局 (CCIB) によって明らかにされました。

GoldPickaxe の高度さは、タイで課されているセキュリティ対策を回避する能力によってさらに実証されています。これらの措置により、詐欺を防ぐためにユーザーは顔認識を使用してより重要な取引を確認することが義務付けられます。 GoldPickaxe は、巧妙に被害者に、詐欺的なアプリケーション内の確認方法としてビデオを録画するよう促します。録画されたビデオは、顔を交換する人工知能サービスを通じてディープフェイクビデオを作成するための原材料として機能します。

さらに、このマルウェアの Android 版と iOS 版は両方とも、被害者の ID 文書と写真を収集し、受信 SMS メッセージを傍受し、侵害されたデバイスを介してトラフィックをルーティングする機能を備えています。 GoldFactory の攻撃者が独自のデバイスを使用して銀行アプリケーションにサインインし、不正な資金送金を実行した疑いがあります。

iOS バージョンと Android GoldPickaxe バージョンの違い

iOS バージョンの GoldPickaxe は、Android 版と比べて機能が少ないです。この矛盾は、iOS オペレーティング システムの閉鎖的な性質とその比較的厳格な許可プロトコルに起因します。

Android の亜種は、GoldDiggerPlus の進化的後継と見なされており、タイ政府、金融セクター、公共事業会社に関連する 20 以上の異なるアプリケーションを装っています。その主な目的は、これらのサービスからログイン資格情報を盗むことです。ただし、この収集された情報による攻撃者の正確な意図は不明のままです。

このマルウェアのもう 1 つの注目すべき特徴は、Android のアクセシビリティ サービスを悪用してキーストロークを記録し、画面上のコンテンツをキャプチャすることです。