Group-IB обнаружили новый троянский программный код GoldPickaxe.iOS, предназначенный для iOS-устройств, который собирает данные распознавания лиц и используется для несанкционированного доступа к банковским счетам. Этот троян является частью кластера агрессивных банковских троянцев, нацеленных на регион Азиатско-Тихоокеанского региона. GoldPickaxe.iOS основан на Android-троянце GoldDigger и регулярно обновляется, чтобы расширить свои возможности и избежать обнаружения.
GoldPickaxe Trojan
Он перехватывает данные геолокации, SMS и собирает биометрические данные для доступа к банковским счетам. Недавно была обнаружена новая схема распространения этого троянца, включающая использование платформы Apple TestFlight и социальной инженерии для установки профиля управления мобильными устройствами. Group-IB связывает этот кластер троянцев с игроком, известным как GoldFactory, и отправил уведомления брендам, используемым для маскировки троянцев. Блог исследователей Group-IB содержит подробности этой угрозы и ее связь с другими вредоносными программами для Android.
- Подразделение аналитики угроз Group-IB обнаружило ранее неизвестный iOS-троян GoldPickaxe.iOS, который собирает идентификационные документы, SMS и данные распознавания лиц.
- Семейство GoldPickaxe доступно как для платформ iOS, так и для Android.
- Набор сложных троянцев, разработанных GoldFactory, действует с середины 2023 года.
- Считается, что GoldFactory - хорошо организованная киберпреступная группа, говорящая на китайском языке и имеющая тесные связи с Gigabud.
- Социальная инженерия - основной метод доставки вредоносного ПО на устройства жертв во всем семействе троянцев GoldFactory.
- GoldPickaxe.iOS распространяется через TestFlight от Apple или путем социальной инженерии, заставляя жертву установить MDM-профиль.
- Троянцы GoldPickaxe собирают профили лиц, документы, удостоверяющие личность, и перехватывают SMS. Чтобы использовать украденные биометрические данные пользователей iOS и Android, злоумышленники создают глубокие подделки с помощью сервисов искусственного интеллекта для подмены лиц жертв. Этот метод может быть использован злоумышленниками для получения несанкционированного доступа к банковским счетам жертв.
- Жертвы троянцев, разработанных GoldFactory, находятся во Вьетнаме и Таиланде.
- После публикации первого отчета о GoldDigger исследователи Group-IB обнаружили новый вариант вредоносной программы под названием GoldDiggerPlus.
- GoldDiggerPlus расширяет функциональность GoldDigger и позволяет злоумышленникам звонить своим жертвам в режиме реального времени.
- Это достигается за счет специально разработанного APK, получившего в Group-IB название GoldKefu. Когда жертва нажимает на фальшивое оповещение в виде кнопки "Связаться со службой поддержки", GoldKefu проверяет, попадает ли текущее время в рабочие часы, установленные злоумышленниками. Если да, то вредоносная программа попытается найти свободного оператора для звонка. Создается впечатление, что злоумышленники управляют настоящим центром обслуживания клиентов.
- Все троянцы находятся в активной стадии развития.
Indicators of Compromise
Domains
- bgt6.xyz
- bv8k.xyz
- gt6ss.xyz
- hds6y.cc
- hzc5.xyz
- ks8cb.cc
- ms2ve.cc
- msc4.xyz
- qskm.xyz
- r6go.xyz
- smgeo.cc
- t8bc.xyz
- tp7s.xyz
- vki9.xyz
- wbke.cc
- wsy6.xyz
- wts3.xyz
- www.dg1e.com
- zu7kt.cc
SHA256
- 4571f8c8560a8a66a90763d7236f55273750cf8dd8f4fdf443b5a07d7a93a3df
- b5dd9b71d2a359450d590bcd924ff3e52eb51916635f7731331ab7218b69f3b9
- b72d9a6bd2c350f47c06dfa443ff7baa59eed090ead34bd553c0298ad6631875
- d8834a21bc70fbe202cb7c865d97301540d4c27741380e877551e35be1b7276b