Cheval de Troie bancaire GoldPickaxe
Un acteur malveillant sophistiqué connu sous le nom de GoldFactory, parlant couramment le chinois, a été identifié comme le créateur de chevaux de Troie bancaires avancés. L'une de leurs dernières créations est un malware iOS non documenté nommé GoldPickaxe, capable de collecter des documents d'identité et des données de reconnaissance faciale et d'intercepter des SMS.
Les chercheurs ont vérifié que la famille GoldPickaxe cible à la fois les plateformes iOS et Android. Le groupe de cybercriminalité GoldFactory, considéré comme bien organisé et parlant chinois, est étroitement lié à Gigabud.
En activité depuis au moins mi-2023, GoldFactory est responsable du développement du malware bancaire basé sur Android GoldDigger, ainsi que de sa variante améliorée GoldDiggerPlus. De plus, ils ont créé GoldKefu, un cheval de Troie intégré à GoldDiggerPlus.
Table des matières
Les attaquants utilisent diverses techniques de phishing pour déployer GoldPickaxe
Des campagnes d'ingénierie sociale menaçantes diffusant des logiciels malveillants ont été identifiées, en se concentrant sur la région Asie-Pacifique, en particulier en Thaïlande et au Vietnam. Les attaquants se font passer pour des banques locales et des entités gouvernementales.
Dans ces attaques ciblées, les individus reçoivent des messages trompeurs de smishing et de phishing, les incitant à déplacer la conversation vers des applications de messagerie instantanée telles que LINE. Par la suite, les attaquants envoient des URL frauduleuses, conduisant à l'installation de GoldPickaxe sur les appareils des victimes.
Certaines applications dangereuses conçues pour Android sont hébergées sur des sites Web contrefaits, imitant les pages du Google Play Store ou de faux sites d'entreprise, afin de mener à bien le processus d'installation.
Nouvelles tactiques affichées par les cybercriminels de GoldFactory
La méthode de distribution de GoldPickaxe pour iOS diffère, utilisant une approche unique. Il utilise la plate-forme TestFlight d'Apple et emploie des URL piégées. Ces URL encouragent les utilisateurs à télécharger un profil de gestion des appareils mobiles (MDM), accordant un contrôle complet sur les appareils iOS et facilitant l'installation de l'application malveillante. Ces deux tactiques de distribution ont été révélées par le CERT du secteur bancaire thaïlandais (TB-CERT) et le Cyber Crime Investigation Bureau (CCIB) en novembre 2023.
La sophistication de GoldPickaxe est également démontrée par sa capacité à contourner les mesures de sécurité imposées en Thaïlande. Ces mesures obligent les utilisateurs à confirmer les transactions plus importantes en utilisant la reconnaissance faciale pour prévenir la fraude. GoldPickaxe invite ingénieusement les victimes à enregistrer une vidéo comme méthode de confirmation au sein de l'application trompeuse. La vidéo enregistrée sert de matière première pour créer des vidéos deepfake grâce à des services d’intelligence artificielle d’échange de visage.
De plus, les variantes Android et iOS du malware possèdent la capacité de rassembler les documents d'identité et les photos de la victime, d'intercepter les messages SMS entrants et d'acheminer le trafic via l'appareil compromis. On soupçonne que les acteurs de GoldFactory utilisent leurs propres appareils pour se connecter aux applications bancaires et exécuter des transferts de fonds non autorisés.
Différences entre les versions iOS et Android GoldPickaxe
La version iOS de GoldPickaxe présente moins de fonctionnalités que son homologue Android. Cet écart est attribué à la nature fermée du système d'exploitation iOS et à ses protocoles d'autorisation relativement stricts.
La variante Android, considérée comme un successeur évolutif de GoldDiggerPlus, se déguise en plus de 20 applications différentes associées au gouvernement thaïlandais, au secteur financier et aux sociétés de services publics. Son objectif principal est de voler les identifiants de connexion de ces services. Cependant, les intentions exactes des acteurs de la menace à partir de ces informations recueillies restent floues.
Une autre caractéristique remarquable du malware est son exploitation des services d'accessibilité d'Android pour enregistrer les frappes au clavier et capturer le contenu à l'écran.
