Новий троян для iOS та Android під назвою ‘GoldPickaxe’ використовує схему соціальної інженерії, щоб обманом змусити жертв сканувати свої особи та ідентифікаційні документи, які, як передбачається, використовуються для створення підробок несанкціонованого банківського доступу.
Нова шкідлива програма, виявлена Group-IB, є частиною набору шкідливих програм, розробленого китайською групою загроз, відомою як “GoldFactory”, яка відповідає за інші штами шкідливого програмного забезпечення, такі як “GoldDigger”, “GoldDiggerPlus” та “GoldKefu”.
За словами аналітиків Group-IB, атаки були спрямовані в основному на Азіатсько-Тихоокеанський регіон, в основному на Таїланд та В’єтнам. Однак прийоми, що використовуються, можуть бути ефективними в усьому світі, і існує небезпека того, що вони будуть перейняті іншими шкідливими програмами.
ПРОДОВЖЕННЯ ПІСЛЯ РЕКЛАМИ
Починається з атак соціальної інженерії
Розповсюдження Gold Pickaxe розпочалося у жовтні 2023 року і продовжується досі. Він вважається частиною кампанії GoldFactory, яка розпочалася у червні 2023 року з Gold Digger.
Жертви одержують фішингові або smishing-повідомлення у додатку LINE, написані їхньою рідною мовою та видають себе за представників державних органів чи служб.
У цих повідомленнях їх намагаються обманом змусити встановити шахрайські програми, наприклад, підроблений додаток “Цифрова пенсія”, розміщений на сайтах, що видають себе за Google Play.
Для користувачів iOS (iPhone) погрози спочатку направляли їх на URL-адресу TestFlight для встановлення шкідливого застосування, що дозволяло їм обійти звичайний процес перевірки безпеки.
Коли Apple видалила програму TestFlight, зловмисники перейшли на заманювання цілей для завантаження шкідливого профілю управління мобільними пристроями (MDM), який дозволяв їм отримати контроль над пристроями.
Можливості Gold Pickaxe
Після встановлення трояна на мобільний пристрій у вигляді підробленого урядового додатка він працює напівавтономно, маніпулюючи функціями у фоновому режимі, перехоплюючи обличчя жертви, перехоплюючи вхідні SMS, запитуючи документи, що засвідчують особу, та проксіруючи мережевий трафік через заражений пристрій за допомогою “MicroS.
На iOS-пристроях шкідлива програма встановлює канал веб-сокету для отримання наступних команд:
Результати виконання вищезгаданих команд передаються назад у C2 за допомогою HTTP-запитів.
У Group-IB кажуть, що версія трояна для Android виконує більше шкідливих дій, ніж для iOS через більш суворі обмеження безпеки Apple. Крім того, на Android троян використовує як прикриття понад 20 різних фіктивних додатків.
Наприклад, GoldPickaxe може виконувати на Android команди для доступу до SMS, навігації по файловій системі, натискання на екран, завантаження останніх 100 фотографій з альбому жертви, завантаження та встановлення додаткових пакетів, а також відправлення фальшивих повідомлень.
Використання осіб жертв для банківського шахрайства – це припущення Group-IB, яке також підтверджене поліцією Таїланду. Він заснований на тому, що минулого року багато фінансових інститутів додали біометричні перевірки для транзакцій, що перевищують певну суму.
Необхідно уточнити, що хоча GoldPickaxe може красти зображення з телефонів на iOS та Android, на яких видно обличчя жертви, та обманом змушувати користувачів розкривати своє обличчя на відео за допомогою соціальної інженерії, шкідлива програма не перехоплює дані Face ID та не використовує вразливості у цих двох мобільних ОС.
Біометричні дані, що зберігаються в захищених корпусах пристроїв, як і раніше, відповідним чином зашифровані і повністю ізольовані від працюючих додатків.