Ένα νέο trojan που επηρεάζει iOS και Android συσκευές, με το όνομα ‘Gold Pickaxe‘, χρησιμοποιεί social engineering για να εξαπατήσει τα θύματα να σαρώσουν τα πρόσωπά τους και πιστεύεται ότι στη συνέχεια τα χρησιμοποιεί για τη δημιουργία deepfakes για μη εξουσιοδοτημένη πρόσβαση σε τραπεζικά συστήματα.
Δείτε επίσης: Το Coyote banking trojan έχει μολύνει 61 τραπεζικές εφαρμογές
Το νέο κακόβουλο λογισμικό, που εντοπίστηκε από την Group-IB, αποτελεί μέρος μιας malware suite που αναπτύχθηκε από την κινεζική ομάδα απειλών γνωστή ως ‘GoldFactory‘, η οποία ευθύνεται για άλλες παραλλαγές κακόβουλου λογισμικού όπως το ‘Gold Digger‘, το ‘Gold Digger Plus‘ και το ‘Gold Kefu‘.
Η Group-IB αναφέρει ότι οι αναλυτές της παρατήρησαν επιθέσεις που στόχευαν κυρίως την περιοχή της Ασίας-Ειρηνικού και πιο συχνά την Ταϊλάνδη και το Βιετνάμ. Ωστόσο, οι τεχνικές που χρησιμοποιήθηκαν μπορεί να είναι αποτελεσματικές παγκοσμίως και υπάρχει κίνδυνος να υιοθετηθούν από άλλες ποικιλίες κακόβουλου λογισμικού. Η διανομή του Gold Pickaxe ξεκίνησε τον Οκτώβριο του 2023 και συνεχίζει. Θεωρείται μέρος μιας εκστρατείας της GoldFactory που ξεκίνησε τον Ιούνιο του 2023 με το Gold Digger.
Τα θύματα λαμβάνουν μηνύματα phishing ή smishing στην εφαρμογή LINE που είναι γραμμένα στην τοπική τους γλώσσα, προσποιούμενα κυβερνητικές αρχές ή υπηρεσίες. Οι μηνύματα προσπαθούν να τους εξαπατήσουν να εγκαταστήσουν πλαστές εφαρμογές, όπως μια πλαστή εφαρμογή ‘Ψηφιακού Συνταξιοδοτικού’ που φιλοξενείται σε ιστότοπους που παριστάνουν το Google Play.
Για τους χρήστες του iOS (iPhone), οι κακόβουλοι παράγοντες χρησιμοποιούσαν αρχικά ένα URL του TestFlight για να εγκαταστήσουν την κακόβουλη εφαρμογή, επιτρέποντας τους να παρακάμψουν την κανονική διαδικασία αξιολόγησης ασφαλείας.
Όταν η Apple αφαίρεσε την εφαρμογή TestFlight, οι επιτιθέμενοι στράφηκαν στο να παρασύρουν τους στόχους να κατεβάσουν ένα κακόβουλο προφίλ Διαχείρισης Κινητής Συσκευής (MDM) που επιτρέπει στους δράστες να αποκτήσουν τον έλεγχο των συσκευών.
Δείτε ακόμα: 10 νέα Android banking trojans εμφανίστηκαν μέσα στο 2023
Μετά την εγκατάσταση του trojan Gold Pickaxe σε μία συσκευή με τη μορφή μιας πλαστής κυβερνητικής εφαρμογής, λειτουργεί ημι-αυτόνομα, παρεμβαίνοντας στις λειτουργίες στο παρασκήνιο, καταγράφοντας το πρόσωπο του θύματος για τη δημιουργία deepfakes, παρεμβαίνοντας στα εισερχόμενα SMS, αιτούμενος εγγράφατα ταυτότητας και δρομολογώντας την κίνηση του δικτύου μέσω της μολυσμένης συσκευής χρησιμοποιώντας το ‘MicroSocks‘.
Η Group-IB αναφέρει ότι η Android έκδοση του trojan Gold Pickaxe πραγματοποιεί περισσότερες κακόβουλες δραστηριότητες από την iOS, λόγω των υψηλότερων περιορισμών ασφαλείας της Apple. Επιπλέον, στο Android, το trojan χρησιμοποιεί πάνω από 20 διαφορετικές πλαστές εφαρμογές για κάλυψη.
Για παράδειγμα, το Gold Pickaxe μπορεί επίσης να εκτελεί εντολές σε Android για πρόσβαση σε SMS, περιήγηση στο σύστημα αρχείων, εκτέλεση κλικ στην οθόνη, μεταφόρτωση των 100 πιο πρόσφατων φωτογραφιών από το άλμπουμ του θύματος, λήψη και εγκατάσταση επιπλέον πακέτων, καθώς και αποστολή πλαστών ειδοποιήσεων.
Η χρήση των προσώπων των θυμάτων για τραπεζική απάτη είναι μια υπόθεση της Group-IB, που επιβεβαιώνεται επίσης από την Ταϊλανδική αστυνομία, βασισμένη στο γεγονός ότι πολλά χρηματοπιστωτικά ιδρύματα πρόσθεσαν βιομετρικούς ελέγχους το περασμένο έτος για συναλλαγές άνω ενός συγκεκριμένου ποσού.
Είναι απαραίτητο να διευκρινιστεί ότι το Gold Pickaxe trojan μπορεί να κλέψει εικόνες από τα τηλέφωνα iOS και Android που δείχνουν το πρόσωπο του θύματος (για deepfakes) και να εξαπατήσει τους χρήστες που αποκαλύπτουν το πρόσωπό τους σε βίντεο μέσω social engineering, χωρίς όμως να αποσπάσει δεδομένα Face ID ή να εκμεταλλευτεί οποιαδήποτε ευπάθεια στα δύο λειτουργικά συστήματα.
Τα βιομετρικά δεδομένα που αποθηκεύονται στις ασφαλείς θηκες των συσκευών είναι εξακριβωμένα κρυπτογραφημένα και πλήρως απομονωμένα από τις εκτελούμενες εφαρμογές.
Δείτε επίσης: Chameleon banking trojan: Νέα παραλλαγή παρακάμπτει βιομετρικούς ελέγχους
Ποια είναι η λειτουργία των banking trojan;
Τα banking trojan είναι κακόβουλα λογισμικά που σχεδιάζονται για να κλέψουν τις τραπεζικές πληροφορίες των χρηστών. Αυτά τα λογισμικά εισβάλλουν στον υπολογιστή του χρήστη, συχνά μέσω επιθέσεων phishing ή μέσω επισυναπτόμενων αρχείων σε ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου.
Μόλις εγκατασταθεί, το banking trojan αρχίζει να παρακολουθεί τις δραστηριότητες του χρήστη, όπως την πλοήγηση στο διαδίκτυο και την εισαγωγή κωδικών πρόσβασης. Οι πληροφορίες που συλλέγονται στη συνέχεια μεταφέρονται στον επιτιθέμενο.
Τα banking trojan μπορούν επίσης να χρησιμοποιηθούν για να εγκαταστήσουν άλλα κακόβουλα λογισμικά στον υπολογιστή του χρήστη, όπως ransomware ή spyware. Αυτό μπορεί να οδηγήσει σε περαιτέρω προβλήματα ασφαλείας, όπως η απώλεια προσωπικών ή ευαίσθητων δεδομένων.
Η καλύτερη άμυνα είναι η πρόληψη. Οι χρήστες πρέπει να είναι προσεκτικοί με τα μηνύματα ηλεκτρονικού ταχυδρομείου που λαμβάνουν, να μην κάνουν κλικ σε ύποπτους συνδέσμους και να χρησιμοποιούν αξιόπιστο λογισμικό ασφαλείας για να προστατεύσουν τους υπολογιστές τους.
Πηγή: bleepingcomputer
