Un acteur menaçant de langue chinoise connu sous le nom de GoldFactory est devenu un acteur important., responsable du développement de chevaux de Troie bancaires très sophistiqués. Parmi son arsenal se trouve un malware iOS jusqu'alors non documenté nommé GoldPickaxe., capable d'extraire des données personnelles sensibles, y compris des documents d'identité, informations sur la reconnaissance faciale, et interceptions de SMS.
GoldPickaxe et GoldDigger: Exploiter les plateformes iOS et Android
Selon un rapport détaillé du Group-IB basé à Singapour, GoldFactory fonctionne comme un groupe de cybercriminalité bien organisé ayant des liens étroits avec Gigabud, ciblant les utilisateurs principalement dans la région Asie-Pacifique, notamment la Thaïlande et le Vietnam. Les activités du groupe s'étendent sur les plateformes iOS et Android, en mettant l'accent sur les campagnes d'ingénierie sociale pour distribuer les logiciels malveillants.
OrPioche, la variante iOS, utilise une stratégie de distribution unique utilisant la plateforme TestFlight d'Apple et des URL malveillantes pour inciter les victimes à télécharger la gestion des appareils mobiles (MDM) profils, accorder un contrôle complet sur leurs appareils. inversement, son homologue Android se propage via des messages de smishing et de phishing, souvent déguisé en communications bancaires locales ou gouvernementales, amener les utilisateurs sans méfiance à installer le malware.
L'un des aspects les plus alarmants de GoldPickaxe est sa capacité à contourner les mesures de sécurité., comme la confirmation par reconnaissance faciale pour les transactions plus importantes, en contraignant les victimes à enregistrer des vidéos via une fausse application. Ces vidéos sont ensuite utilisées pour créer deepfake teneur, compliquant encore davantage les efforts de détection et d’atténuation.
Alors que GoldPickaxe cible principalement les appareils iOS, son homologue Android, Chercheur d'or, présente un éventail plus large de capacités, y compris le vol d'identifiants bancaires et l'interception de messages SMS. GoldDigger a été observé se faisant passer pour diverses applications légitimes, tirer parti de 20 différents déguisements pour infiltrer les appareils.
Les opérations de GoldFactory mettent en évidence la nature évolutive des logiciels malveillants bancaires mobiles, avec une adaptation continue pour contourner les protocoles de sécurité et exploiter les vulnérabilités. L'expertise du groupe en matière de tactiques d'ingénierie sociale, enregistrement de frappe d'accessibilité, et l'intégration de fonctionnalités trompeuses souligne la sophistication de leurs opérations.
Pour atténuer les risques posés par GoldFactory et ses variantes de logiciels malveillants, les utilisateurs doivent être prudents lorsqu'ils interagissent avec des liens ou des messages suspects, s'abstenir de télécharger des applications à partir de sources non fiables, et examinez régulièrement les autorisations des applications.