Новый троян для iOS и Android под названием ‘GoldPickaxe’ использует схему социальной инженерии, чтобы обманом заставить жертв сканировать свои личности и идентификационные документы, которые предположительно используются для создания подделок несанкционированного банковского доступа.
Новая вредоносная программа, обнаруженная Group-IB является частью набора вредоносных программ, разработанного китайской группой угроз, известной как “GoldFactory”, которая отвечает за другие штаммы вредоносного программного обеспечения, такие как “GoldDigger”, “GoldDiggerPlus” и “GoldKefu”.
<По словам аналитиков Group-IB, атаки были направлены в основном на Азиатско-Тихоокеанский регион, в основном на Таиланд и Вьетнам. Однако используемые приемы могут быть эффективными во всем мире, и существует опасность того, что они будут проникнуты другими вредоносными программами.
Начинается с атак социальной инженерии
Распространение Gold Pickaxe началось в октябре 2023 года и продолжается по сей день. Он считается частью кампании GoldFactory, которая началась в июне 2023 года с Gold Digger.
Жертвы получают фишинговые или smishing-сообщения в приложении LINE, написанные на их родном языке и выдают себя за представителей государственных органов или служб.
В этих сообщениях их пытаются обманом заставить установить мошеннические программы, например поддельное приложение “ Цифровая пенсия”, размещенный на сайтах, выдающих себя за Google Play. Источник: Group-IB
Для пользователей iOS (iPhone) угрозы сначала направляли их на URL-адрес TestFlight для установки вредоносного применения, что позволяло им обойти обычный процесс проверки безопасности.
Когда Apple удалила программу TestFlight, злоумышленники перешли на заманивание целей для загрузки вредоносного профиля управления мобильными устройствами (MDM), который позволял им получить контроль над устройствами.
Цепь заражения iOS Источник: Group-IB
Возможности Gold Pickaxe
После установки трояна на мобильное устройство в виде поддельного правительственного приложения он работает полуавтономно, манипулируя функциями в фоновом режиме, перехватывая лицо жертвы, перехватывая входящие SMS, запрашивая документы, удостоверяющие личность, и проксируя сетевой трафик через зараженное устройство с помощью “MicroS.
На iOS-устройствах вредоносная программа устанавливает канал веб-сокета для получения следующих команд:
Результаты выполнение вышеупомянутых команд передаются обратно в C2 с помощью HTTP-запросов. В Group-IB говорят, что версия трояна для Android выполняет больше вредных действий, чем для iOS из-за более строгих ограничений безопасности Apple. Кроме того, на Android троян использует в качестве прикрытия более 20 различных фиктивных приложений.
Например, GoldPickaxe может выполнять на Android команды для доступа к SMS, навигации по файловой системе, нажатие на экран, загрузку последних 100 фотографий с альбома жертвы, загрузки и установки дополнительных пакетов, а также отправка фальшивых сообщений. Использование жертв для банковского мошенничества – это предположение Group-IB, которое также подтверждено полицией Таиланда. Он основан на том, что в прошлом году многие финансовые институты добавили биометрические проверки для транзакций, превышающих определенную сумму.
Необходимо уточнить, что хотя GoldPickaxe может воровать изображения с телефонов на iOS и Android, на которых видно лицо жертвы , и обманом заставлять пользователей раскрывать свое лицо на видео с помощью социальной инженерии, вредоносная программа не перехватывает данные Face ID и не использует уязвимости этих двух мобильных ОС.
Биометрические данные, хранящиеся в защищенных корпусах устройств, как и раньше, соответствующим образом зашифрованы и полностью изолированы от работающих приложений.