В октябре 2023 года исследователи Group-IB опубликовали отчет о ранее неизвестном Android-троянце, нацеленном более чем на 50 финансовых учреждений во Вьетнаме. Он получил название GoldDigger, поскольку в APK содержалось действие под названием GoldActivity. После первоначального обнаружения трояна, Group-IB постоянно отслеживало эту развивающуюся угрозу и обнаружило целый кластер "агрессивных банковских троянов", активно нацеленных на Азиатско-Тихоокеанский регион (APAC).
Среди этих открытий есть исключительно редкое явление – новый сложный мобильный троянец, специально предназначенный для пользователей iOS, получивший от Group-IB название GoldPickaxe.iOS. Семейство GoldPickaxe, включающее версии для iOS и Android, основано на Android-троянце GoldDigger и имеет регулярные обновления, предназначенные для расширения их возможностей и уклонения от обнаружения. GoldPickaxe.iOS, как обнаружили исследователи Group-IB, способна собирать данные распознавания лиц, документы, удостоверяющие личность, и перехватывать SMS. Его Android-собрат обладает той же функциональностью, но также обладает другими функциями, типичными для Android-троянов. Чтобы воспользоваться украденными биометрическими данными, злоумышленник использует сервисы обмена лицами на основе искусственного интеллекта для создания глубоких подделок. Эти данные в сочетании с документами, удостоверяющими личность, и возможностью перехвата SMS позволяют киберпреступникам получать несанкционированный доступ к банковскому счету жертвы – новый метод кражи денежных средств, ранее невиданный исследователями Group-IB в других схемах мошенничества.
Недавно созданный GoldPickaxe.iOS использует примечательную схему распространения. Для первоначального распространения вредоносного ПО злоумышленник использовал платформу для тестирования мобильных приложений Apple, TestFlight. После удаления вредоносного приложения с TestFlight исполнитель угрозы применил более изощренный подход. Они использовали многоступенчатую схему социальной инженерии, чтобы убедить жертв установить профиль управления мобильными устройствами (MDM). Это позволило субъекту угрозы получить полный контроль над устройством жертвы.
Group-IB приписала весь кластер угроз одному субъекту угрозы под кодовым названием GoldFactory , который разработал сложный набор вредоносных программ для мобильного банкинга.
Жертвы этой вредоносной активности преимущественно находятся в Азиатско-Тихоокеанском регионе. Хотя текущие данные указывают на особое внимание к двум странам APAC, появляются признаки того, что география операций GoldFactory может выйти за пределы Вьетнама и Таиланда. Group-IB разослала уведомления брендам, олицетворяемым троянами GoldFactory.
В этом блоге исследователи Group-IB изучают детали угрозы, исходящей от GoldFactory, и проливают свет на ее развивающиеся отношения с другими семействами вредоносных программ для Android, такими как Gigabud. Этот анализ дает ценную информацию о природе и масштабах ландшафта киберугроз, способствуя нашим постоянным усилиям по повышению осведомленности о кибербезопасности и устойчивости к ней. В блог включена Матрица мошенничества Group-IB с категоризированными характеристиками и тактиками, а также соответствующими индикаторами компромисса (IOC).
Основные выводы
- Подразделение анализа угроз Group-IB обнаружило ранее неизвестный троян GoldPickaxe.iOS для iOS , который собирает документы, удостоверяющие личность, SMS и данные распознавания лиц.
- Семейство GoldPickaxe доступно для платформ iOS и Android .
- Набор сложных троянов, разработанный GoldFactory , активен с середины 2023 года.
- Считается, что GoldFactory — это хорошо организованная китайскоязычная группа киберпреступников , имеющая тесные связи с Gigabud.
- Социальная инженерия — основной метод, используемый для доставки вредоносного ПО на устройства жертв во всем семействе троянов GoldFactory.
- GoldPickaxe.iOS распространяется через Apple TestFlight или посредством социальной инженерии, позволяющей жертвам установить профиль MDM .
- Трояны GoldPickaxe собирают профили лиц, документы, удостоверяющие личность, и перехватывают SMS. Чтобы использовать украденные биометрические данные пользователей iOS и Android, злоумышленник создает дипфейки, используя сервисы искусственного интеллекта по подмене лиц , заменяя их лица лицами жертв. Киберпреступники могут использовать этот метод для получения несанкционированного доступа к банковским счетам жертв.
- Жертвы троянов, разработанных GoldFactory, находятся во Вьетнаме и Таиланде.
- После публикации первоначального отчета о GoldDigger исследователи Group-IB выявили новый вариант вредоносного ПО под названием GoldDiggerPlus.
- GoldDiggerPlus расширяет функциональность GoldDigger и позволяет злоумышленникам звонить своим жертвам в режиме реального времени.
- Это достигается с помощью специально разработанного APK, получившего название GoldKefu от Group-IB. Когда жертва нажимает кнопку «Связаться со службой поддержки» поддельное оповещение, GoldKefu проверяет, соответствует ли текущее время рабочему времени, установленному киберпреступниками. Если это произойдет, вредоносная программа попытается найти бесплатного оператора для звонка. Создается впечатление, что у киберпреступников работает настоящий центр обслуживания клиентов.
- Все трояны, выявленные в этом отчете, находятся в активной стадии развития.
Расследование
Расследование деятельности группы GoldFactory начали с раскрытия первой известной версии вредоносного ПО GoldDigger, которая специально предназначена для более чем 50 приложений, связанных с банковским делом, электронными и крипто-кошельками во Вьетнаме.
После публикации первоначального отчета в октябре 2023 года исследователи Group-IB обнаружили новый вариант троянца - GoldDiggerPlus, который удалял список целевых приложений, но вместо этого содержал сокращенный список из 10 веб-подделок во встроенном вредоносном ПО, названном Group-IB GoldKefu. По мнению специалистов, это было сделано, скорее всего, для того, чтобы скрыть целевые организации и страны, тем самым повысив эффективность преступной деятельности.
Предыдущий анализ показал, что распространение вредоносного ПО GoldDigger может затронуть другие страны Азиатско-Тихоокеанского региона. Это предположение оказалось верным. Менее чем за месяц, отдел анализа угроз Group-IB обнаружил новый вариант вредоносного ПО, который нацелен на жертв платформы iOS из Таиланда. Этот новый вариант вредоносного ПО был назван Group-IB GoldPickaxe.iOS.
Вместе с трояном для iOS, команда Group-IB также обнаружила версию GoldPickaxe для Android, которая была названа GoldPickaxe.Android.
В целом выявили четыре семейства троянских программ, которые использовались злоумышленниками. Специалисты придерживаются соглашения об именовании, используя префикс Gold для вновь обнаруженных вредоносных программ в качестве символического представления того, что они были разработаны одним и тем же угрожающим субъектом.
В приведенном ниже списке представлено краткое описание каждого из них:
- GoldDigger — классический банковский троян для Android, который злоупотребляет службой доступности и предоставляет киберпреступникам контроль над устройством.
- GoldDiggerPlus — это также вредоносное ПО для Android, расширяющее функциональность GoldDigger.
- GoldKefu, встроенный в GoldDiggerPlus троян, содержит веб-фейки и позволяет совершать голосовые вызовы жертвам в режиме реального времени.
- GoldPickaxe — это троян, разработанный для платформ iOS и Android. GoldPickaxe используется для сбора и кражи личной информации жертв, а также биометрических данных.
В марте 2023 г. Банк Таиланда поручил банкам использовать биометрическую проверку лица для подтверждения личности вместо использования одноразовых паролей при совершении транзакций на сумму 50 000 бат (приблизительно 1 430 долларов США) и более; переводы на сумму более 200 000 бат в день; или повышение лимита кредитных переводов на мобильных устройствах до более чем 50 000 бат за транзакцию.
Скорее всего, GoldPickaxe добралась и до берегов Вьетнама. В феврале 2024 г. появилась новость о том, что гражданин Вьетнама стал жертвой вредоносного мобильного приложения. Человек выполнил операции, запрошенные приложением, включая сканирование лица. В результате киберпреступники вывели деньги, эквивалентные более чем 40 000 долларов США. На данный момент нет никаких доказательств распространения GoldPickaxe во Вьетнаме. Однако, учитывая упомянутую в новостях уникальную особенность сканирования лица, а также тот факт, что GoldFactory активно работает в этом регионе, исследователи подозревают, что они, вероятно, начали использовать GoldPickaxe во Вьетнаме. Ожидается, что вскоре во Вьетнаме появится больше экземпляров GoldPickaxe поскольку Государственный банк Вьетнама (SBV) объявил о своем плане по обязательному использованию аутентификации по лицу в качестве меры безопасности для всех денежных переводов с апреля 2024 года.
Данное исследование выявило многие аспекты киберпреступной деятельности GoldFactory. На данном этапе расследования факт сбыта рассматриваемых инструментов не обнаружен. В результате сложно сказать, были ли эти вредоносные инструменты разработаны исключительно для использования только одной группой киберпреступников или для дальнейшего распространения внутри киберпреступного подполья в будущем. Однако исследователи считают, что за разработкой, распространением и кражей денег стоит множество людей, поскольку они высокоорганизованы . В результате на момент исследования вся выявленная активность отнесена к одной группе, которую назвали GoldFactory . Основное внимание в отчете специалистов Group-IB будет уделено техническим аспектам и использованию инструментов, обнаруженных при атаках на отдельных лиц.
Больше информации об ИИ читайте в нашем телеграм-канале.
