Un actor de amenazas de habla china conocido como GoldFactory se ha convertido en un actor importante., responsable del desarrollo de troyanos bancarios altamente sofisticados. Entre su arsenal se encuentra un malware para iOS no documentado anteriormente llamado GoldPickaxe., capaz de extraer datos personales sensibles, incluidos documentos de identidad, información de reconocimiento facial, e interceptaciones de SMS.
GoldPickaxe y GoldDigger: Explotación de plataformas iOS y Android
Según un informe detallado del Group-IB, con sede en Singapur, GoldFactory opera como un grupo de cibercrimen bien organizado con fuertes vínculos con Gigabud, Dirigido a usuarios principalmente en la región de Asia y el Pacífico., en particular Tailandia y Vietnam. Las actividades del grupo se extienden a las plataformas iOS y Android., con un enfoque en campañas de ingeniería social para distribuir el malware.
OroPico, la variante de iOS, emplea una estrategia de distribución única que utiliza la plataforma TestFlight de Apple y URL maliciosas para atraer a las víctimas a descargar Mobile Device Management (MDM) perfiles, otorgando control total sobre sus dispositivos. A la inversa, su contraparte de Android se propaga a través de mensajes de smishing y phishing, a menudo disfrazados de comunicaciones gubernamentales o bancarias locales, llevando a usuarios desprevenidos a instalar el malware.
Uno de los aspectos más alarmantes de GoldPickaxe es su capacidad para eludir las medidas de seguridad., como confirmación de reconocimiento facial para transacciones más grandes, obligando a las víctimas a grabar vídeos a través de una aplicación falsa. Estos videos luego se utilizan para crear deepfake contenido, complicando aún más los esfuerzos de detección y mitigación.
Mientras que GoldPickaxe se dirige principalmente a dispositivos iOS, su contraparte de Android, Buscador de oro, exhibe una gama más amplia de capacidades, incluido el robo de credenciales bancarias y la interceptación de mensajes SMS. Se ha observado que GoldDigger se hace pasar por varias aplicaciones legítimas., aprovechando 20 Diferentes disfraces para infiltrarse en dispositivos..
Las operaciones de GoldFactory resaltan la naturaleza cambiante del malware de banca móvil, con adaptación continua para eludir protocolos de seguridad y explotar vulnerabilidades. La experiencia del grupo en tácticas de ingeniería social, registro de teclas de accesibilidad, y la integración de características engañosas subraya la sofisticación de sus operaciones.
Mitigar los riesgos que plantea GoldFactory y sus variantes de malware, Los usuarios deben tener cuidado al interactuar con enlaces o mensajes sospechosos., abstenerse de descargar aplicaciones de fuentes no confiables, y revisar periódicamente los permisos de la aplicación.