Banking-Trojaner GoldPickaxe
Ein hochentwickelter Bedrohungsakteur namens GoldFactory, der fließend Chinesisch spricht, wurde als Schöpfer hochentwickelter Banking-Trojaner identifiziert. Eine ihrer neuesten Kreationen ist eine undokumentierte iOS-Malware namens GoldPickaxe, die in der Lage ist, Ausweisdokumente und Gesichtserkennungsdaten zu sammeln und SMS abzufangen.
Forscher haben bestätigt, dass die GoldPickaxe-Familie sowohl auf iOS- als auch auf Android-Plattformen abzielt. Die Cyberkriminalitätsgruppe GoldFactory gilt als gut organisiert und chinesischsprachig und ist eng mit Gigabud verbunden.
GoldFactory ist seit mindestens Mitte 2023 tätig und verantwortlich für die Entwicklung der Android-basierten Banking-Malware GoldDigger sowie ihrer erweiterten Variante GoldDiggerPlus. Darüber hinaus haben sie GoldKefu erstellt, einen eingebetteten Trojaner in GoldDiggerPlus.
Inhaltsverzeichnis
Angreifer nutzen verschiedene Phishing-Techniken, um GoldPickaxe einzusetzen
Es wurden bedrohliche Social-Engineering-Kampagnen zur Verbreitung von Malware identifiziert, die sich auf den asiatisch-pazifischen Raum, insbesondere Thailand und Vietnam, konzentrieren. Die Angreifer tarnen sich als lokale Banken und Regierungsstellen.
Bei diesen gezielten Angriffen erhalten Einzelpersonen betrügerische Smishing- und Phishing-Nachrichten, die sie dazu veranlassen, die Konversation auf Instant-Messaging-Apps wie LINE zu verlagern. Anschließend versenden die Angreifer betrügerische URLs, die zur Installation von GoldPickaxe auf den Geräten der Opfer führen.
Bestimmte unsichere, für Android entwickelte Anwendungen werden auf gefälschten Websites gehostet, die Google Play Store-Seiten oder gefälschte Unternehmensseiten nachahmen, um den Installationsprozess erfolgreich durchzuführen.
Neue Taktiken der GoldFactory-Cyberkriminellen
Die Verteilungsmethode von GoldPickaxe für iOS unterscheidet sich und verwendet einen einzigartigen Ansatz. Es nutzt die TestFlight-Plattform von Apple und verwendet mit Sprengfallen versehene URLs. Diese URLs ermutigen Benutzer, ein MDM-Profil (Mobile Device Management) herunterzuladen, das ihnen die vollständige Kontrolle über iOS-Geräte gewährt und die Installation der betrügerischen App erleichtert. Beide Vertriebstaktiken wurden im November 2023 vom thailändischen Bankensektor CERT (TB-CERT) und dem Cyber Crime Investigation Bureau (CCIB) aufgedeckt.
Die Raffinesse von GoldPickaxe zeigt sich auch in seiner Fähigkeit, in Thailand verhängte Sicherheitsmaßnahmen zu umgehen. Diese Maßnahmen verpflichten Benutzer dazu, wichtigere Transaktionen mithilfe der Gesichtserkennung zu bestätigen, um Betrug zu verhindern. GoldPickaxe fordert Opfer auf raffinierte Weise dazu auf, ein Video als Bestätigungsmethode innerhalb der betrügerischen Anwendung aufzunehmen. Das aufgezeichnete Video dient als Rohmaterial für die Erstellung von Deepfake-Videos mithilfe von Face-Swapping-Diensten der künstlichen Intelligenz.
Darüber hinaus verfügen sowohl die Android- als auch die iOS-Variante der Malware über die Fähigkeit, die Ausweisdokumente und Fotos des Opfers zu sammeln, eingehende SMS-Nachrichten abzufangen und den Datenverkehr über das kompromittierte Gerät weiterzuleiten. Es besteht der Verdacht, dass die GoldFactory-Akteure ihre eigenen Geräte nutzen, um sich bei Bankanwendungen anzumelden und unautorisierte Geldüberweisungen durchzuführen.
Unterschiede zwischen den GoldPickaxe-Versionen für iOS und Android
Die iOS-Version von GoldPickaxe weist im Vergleich zu ihrem Android-Pendant weniger Funktionalitäten auf. Diese Diskrepanz wird auf die geschlossene Natur des iOS-Betriebssystems und seine relativ strengen Berechtigungsprotokolle zurückgeführt.
Die Android-Variante, die als evolutionärer Nachfolger von GoldDiggerPlus gilt, tarnt sich als über 20 verschiedene Anwendungen, die mit der thailändischen Regierung, dem Finanzsektor und Versorgungsunternehmen in Verbindung stehen. Sein Hauptziel besteht darin, Anmeldeinformationen von diesen Diensten zu stehlen. Die genauen Absichten der Bedrohungsakteure mit diesen gesammelten Informationen bleiben jedoch unklar.
Ein weiteres bemerkenswertes Merkmal der Malware ist die Ausnutzung der Barrierefreiheitsdienste von Android, um Tastatureingaben aufzuzeichnen und Bildschirminhalte zu erfassen.
