Ένας κινεζικός κυβερνοεγκληματικός οργανισμός, γνωστός ως GoldFactory από τους ερευνητές της Group-IB, ξεκίνησε να διανέμει μολυσμένες εφαρμογές σε smartphones τον Ιούνιο του 2023, αν και η τελευταία έκδοση του GoldPickaxe υπάρχει από τον Οκτώβριο.
Οι εκδόσεις GoldPickaxe και GoldPickaxe.iOS στοχεύουν στον μολύνσει συσκευές που λειτουργούν με τα λειτουργικά συστήματα Android και iOS, εξαπατώντας τους χρήστες με βιομετρική επαλήθευση, την οποία στη συνέχεια χρησιμοποιούν για να παρακάμψουν την επαλήθευση που χρησιμοποιούν οι νόμιμες τραπεζικές εφαρμογές στο Βιετνάμ και την Ταϊλάνδη – οι κύριοι στόχοι αυτών των επιθέσεων.
Η έκδοση για το iOS φαίνεται να στοχεύει ειδικά τους χρήστες στην Ταϊλάνδη, προστάττοντας την επίσημη εφαρμογή της κυβέρνησης Ταϊλάνδης για συνταξιοδοτικά. Ωστόσο, υπάρχουν πληροφορίες που υποδηλώνουν ότι αυτή η έκδοση έχει φτάσει επίσης στο Βιετνάμ, καθώς αναφέρθηκαν παρόμοιες επιθέσεις νωρίτερα αυτόν τον μήνα, με αποτέλεσμα την κλοπή δεκάδων χιλιάδων δολαρίων σε αυτήν την περιοχή.
Οι ερευνητές της Group-IB σημείωσαν ότι το GoldPickaxe.iOS είναι το πρώτο ιός τροία για το iOS που συνδυάζει χαρακτηριστικά όπως η συλλογή των βιομετρικών δεδομένων των θυμάτων, τα ταυτοπιστικά έγγραφα, η καταγραφή των μηνυμάτων SMS και η ανακατεύθυνση της κίνησης μέσω της συσκευής του θύματος. Στην πλατφόρμα Android, αυτές οι λειτουργίες είναι ακόμη πιο εκτεταμένες, λόγω των μεγαλύτερων περιορισμών και του κλειστού χαρακτήρα του λειτουργικού συστήματος iOS.
Η ανακάλυψη κακόβουλου λογισμικού για το iOS είναι πιο εκπληκτική, καθώς το σύστημα της Apple έχει αυστηρότερους ελέγχους ασφαλείας από το Android. Η επίθεση στο Android ήταν απλούστερη από αυτή στο iOS – οι κακόβουλες εφαρμογές ήταν απλά διαθέσιμες για λήψη ή εγκατάσταση μέσω ενός ψεύτικου, αλλά φαινομενικά νόμιμου καταστήματος Google Play. Η επίθεση στο Android ήταν πιο εξειδικευμένη και περιλάμβανε περισσότερες από 20 διαφορετικές ψεύτικες κυβερνητικές, χρηματοοικονομικές και δημόσιες οργανώσεις στην Ταϊλάνδη, επιτρέποντας στους εγκληματίες να κλέψουν διαπιστευτήρια σύνδεσης για όλες αυτές τις υπηρεσίες.
Οι επιτιθέμενοι χρησιμοποίησαν διάφορες μεθόδους για να αναλάβουν τις συσκευές της Apple. Αρχικά, κατέχρησαν την πλατφόρμα TestFlight της Apple, η οποία επέτρεπε τη διανομή εκδόσεων beta των εφαρμογών πριν από την πλήρη κυκλοφορία τους στο App Store. Όταν αυτή η μέθοδος δεν απέδωσε αποτελέσματα, οι εγκληματίες άρχισαν να χρησιμοποιούν πιο προηγμένες τεχνικές κοινωνικής μηχανικής. Για παράδειγμα, προσποιήθηκαν ότι ήταν κυβερνητικοί αξιωματούχοι στη δημοφιλή εφαρμογή επικοινωνίας LINE. Στη συνέχεια, έπεισαν τα θύματα να κατεβάσουν την εφαρμογή GoldPickaxe. Αφού κατέγραψαν τα βιομετρικά σαρώματα, οι εγκληματίες τα χρησιμοποίησαν μαζί με λογισμικό δημιουργίας deepfake για να δημιουργήσουν ένα μοντέλο του προσώπου του θύματος. Στη συνέχεια, κατέβασαν μια τραπεζική εφαρμογή στις δικές τους συσκευές και απομακρύνθηκαν απομακρυσμένα στους τραπεζικούς λογαριασμούς των θυμάτων χρησιμοποιώντας τα κλεμμένα deepfakes, τα ταυτοπιστικά έγγραφα και τα αναχωρημένα μηνύματα SMS.
Η εφαρμογή GoldPickaxe δείχνει ότι η τεχνολογία deepfake είναι ήδη εξελιγμένη αρκετά ώστε να χρησιμοποιείται σε επιθέσεις στην πραγματική ζωή. Οι σάρωσεις προσώπου απαιτούνταν μόνο πρόσφατα στην Ταϊλάνδη, ενώ αναμένεται να εφαρμοστούν τέτοιοι έλεγχοι στο Βιετνάμ τον Απρίλιο του έτους.
Ο κυβερνοεγκληματικός οργανισμός GoldFactory ευθύνεται για την ανάπτυξη πολλών τροίας, συμπεριλαμβανομένων των GoldDigger και GoldPickaxe. Ο GoldDigger λειτουργεί κυρίως ως ένα παραδοσιακό τροποποιημένο για τραπεζικές εφαρμογές για το σύστημα Android, ενώ ο GoldPickaxe στοχεύει στην κλοπή προσωπικών δεδομένων, συμπεριλαμβανομένων των σαρώσεων προσώπου και των ταυτοπιστικών έγγραφων.
Οι επιθέσεις του οργανισμού GoldFactory δείχνουν ότι οι κυβερνοεγκληματίες κατανοούν όλο και περισσότερο τα εργαλεία και τεχνικές τους για να επιτύχουν τους στόχους τους. Μπροστά σε τέτοιου είδους επιθέσεις, είναι σημαντικό για τους χρήστες να γνωρίζουν τους κινδύνους που συνδέονται με τη λήψη εφαρμογών από μη έμπιστες πηγές και να παρέχουν τα προσωπικά και βιομετρικά τους δεδομένα σε άγνωστες εφαρμογές.
Συχνές Ερωτήσεις
The source of the article is from the blog coletivometranca.com.br