Новый троян для iOS и Android под названием 'GoldPickaxe' использует схему социальной инженерии, чтобы обманом заставить жертв сканировать свои лица и идентификационные документы, которые, как предполагается, используются для создания подделок для несанкционированного банковского доступа.
Новая вредоносная программа, обнаруженная Group-IB, является частью набора вредоносных программ, разработанного китайской группой угроз, известной как "GoldFactory", которая ответственна за другие штаммы вредоносного ПО, такие как "GoldDigger", "GoldDiggerPlus" и "GoldKefu".
По словам аналитиков Group-IB, атаки были направлены в основном на Азиатско-Тихоокеанский регион, в основном на Таиланд и Вьетнам. Однако используемые приемы могут быть эффективны во всем мире, и существует опасность того, что они будут переняты другими вредоносными программами.
Начинается с атак социальной инженерии
Распространение Gold Pickaxe началось в октябре 2023 года и продолжается до сих пор. Он считается частью кампании GoldFactory, которая началась в июне 2023 года с Gold Digger.
Жертвы получают фишинговые или smishing-сообщения в приложении LINE, написанные на их родном языке и выдающие себя за представителей государственных органов или служб.
В этих сообщениях их пытаются обманом заставить установить мошеннические приложения, например поддельное приложение "Цифровая пенсия", размещенное на сайтах, выдающих себя за Google Play.
Для пользователей iOS (iPhone) угрозы изначально направляли их на URL-адрес TestFlight для установки вредоносного приложения, что позволяло им обойти обычный процесс проверки безопасности.
Когда Apple удалила приложение TestFlight, злоумышленники переключились на заманивание целей для загрузки вредоносного профиля управления мобильными устройствами (MDM), который позволял им получить контроль над устройствами.
Возможности Gold Pickaxe
После установки трояна на мобильное устройство в виде поддельного правительственного приложения он работает полуавтономно, манипулируя функциями в фоновом режиме, перехватывая лицо жертвы, перехватывая входящие SMS, запрашивая документы, удостоверяющие личность, и проксируя сетевой трафик через зараженное устройство с помощью "MicroSocks".
На iOS-устройствах вредоносная программа устанавливает канал веб-сокета для получения следующих команд:
Результаты выполнения вышеуказанных команд передаются обратно в C2 посредством HTTP-запросов.
В Group-IB говорят, что версия трояна для Android выполняет больше вредоносных действий, чем для iOS, из-за более строгих ограничений безопасности Apple. Кроме того, на Android троян использует в качестве прикрытия более 20 различных фиктивных приложений.
Например, GoldPickaxe может выполнять на Android команды для доступа к SMS, навигации по файловой системе, нажатия на экран, загрузки 100 последних фотографий из альбома жертвы, загрузки и установки дополнительных пакетов, а также отправки фальшивых уведомлений.
Использование лиц жертв для банковского мошенничества - это предположение Group-IB, которое также подтвержденное полицией ТаиландаОно основано на том, что в прошлом году многие финансовые институты добавили биометрические проверки для транзакций, превышающих определенную сумму.
Необходимо уточнить, что хотя GoldPickaxe может красть изображения с телефонов на iOS и Android, на которых видно лицо жертвы, и обманом заставлять пользователей раскрывать свое лицо на видео с помощью социальной инженерии, вредоносная программа не перехватывает данные Face ID и не использует уязвимости в этих двух мобильных ОС.
Биометрические данные, хранящиеся в защищенных корпусах устройств, по-прежнему соответствующим образом зашифрованы и полностью изолированы от работающих приложений.
Обновление 2/16 - Представитель Google прислал genshin следующий комментарий относительно угрозы GoldPickaxe:
