Η τελευταία απειλή στον κυβερνοχώρο: iOS Trojan που αποκαλύφθηκε από την Group-IB κλέβει δεδομένα αναγνώρισης προσώπου
Η Group-IB εντόπισε αρχικά το GoldDigger τον Οκτώβριο του 2023, προβλέποντας την επέκτασή του πέραν του Βιετνάμ. Σε λιγότερο από ένα μήνα, εμφανίστηκε μια νέα παραλλαγή - το GoldPickaxe.iOS, με στόχο θύματα στην Ταϊλάνδη. Ο φορέας απειλών, GoldFactory, διαθέτει ένα εκτεταμένο χαρτοφυλάκιο, συμπεριλαμβανομένου του GoldDigger και των πρόσφατα εντοπισμένων GoldDiggerPlus, GoldKefu και GoldPickaxe για Android.
Σε ένα πρόσφατο περιστατικό τον Φεβρουάριο του 2024, ένας Βιετναμέζος πολίτης έπεσε θύμα του GoldPickaxe.iOS, με αποτέλεσμα ο κυβερνοεγκληματίας να αποσύρει πάνω από 40.000 δολάρια. Παρόλο που η Group-IB δεν έχει άμεσες αποδείξεις για τη διανομή του GoldPickaxe στο Βιετνάμ, το περιστατικό υποδηλώνει έντονα την παρουσία του στη χώρα.
Το GoldPickaxe.iOS μεταμφιέζεται σε εφαρμογές κυβερνητικών υπηρεσιών της Ταϊλάνδης, δελεάζοντας τους χρήστες να δημιουργήσουν ένα ολοκληρωμένο βιομετρικό προφίλ προσώπου και να υποβάλουν φωτογραφίες των δελτίων ταυτότητάς τους. Χρησιμοποιώντας μια καινοτόμο στρατηγική διανομής, ο δράστης της απειλής χρησιμοποίησε αρχικά την πλατφόρμα TestFlight της Apple, μεταβαίνοντας σε μια πιο προηγμένη προσέγγιση μετά την απομάκρυνση του από την πλατφόρμα της Apple.
Σε αντίθεση με το τυπικό κακόβουλο λογισμικό, το GoldPickaxe δεν κλέβει άμεσα χρήματα. Αντ' αυτού, συλλέγει πληροφορίες για τη δημιουργία video deepfakes για μη εξουσιοδοτημένη πρόσβαση στις τραπεζικές εφαρμογές των θυμάτων. Οι χρηματοπιστωτικοί οργανισμοί της Ταϊλάνδης χρησιμοποιούν εκτενώς την αναγνώριση προσώπου για την επαλήθευση συναλλαγών και τον έλεγχο ταυτότητας σύνδεσης.
Μετά την ανακάλυψη του GoldDigger Trojan τον Ιούνιο του 2023, η Group-IB εντόπισε μια πιο προηγμένη παραλλαγή - GoldDiggerPlus. Αυτό το κακόβουλο λογισμικό Android, συνοδευόμενο από το GoldKefu, χρησιμοποιεί διαδικτυακές απομιμήσεις που υποδύονται τράπεζες του Βιετνάμ για να συλλέξει τραπεζικά διαπιστευτήρια. Το GoldKefu επιτρέπει στους εγκληματίες του κυβερνοχώρου να στέλνουν ψεύτικες ειδοποιήσεις και να πραγματοποιούν κλήσεις σε πραγματικό χρόνο στα θύματα.
Η Group-IB αποδίδει ολόκληρο το σύμπλεγμα απειλών στον κακόβουλο παράγοντα GoldFactory. Η ομάδα επιδεικνύει επάρκεια σε διάφορες τακτικές, συμπεριλαμβανομένης της πλαστοπροσωπίας, του keylogging, των ψεύτικων τραπεζικών ιστότοπων και της συλλογής δεδομένων ταυτότητας και αναγνώρισης προσώπου. Η εμπλοκή της GoldFactory στη διανομή του Gigabud, ενός διασπαστικού τραπεζικού trojan, έχει υπονοηθεί αλλά δεν έχει αποδειχθεί πειστικά.
Ο Andrey Polovinkin, αναλυτής κακόβουλου λογισμικού στην Group-IB, τονίζει την επιχειρησιακή ωριμότητα της συμμορίας και τις συνεχείς βελτιώσεις στα εργαλεία της. Προειδοποιεί για επικείμενη απειλή για το Βιετνάμ και άλλες περιοχές, καθώς οι τεχνικές και η λειτουργικότητα του GoldPickaxe είναι πιθανό να ενσωματωθούν σε μελλοντικό κακόβουλο λογισμικό.
Η Group-IB συνιστά στις τράπεζες να εφαρμόζουν συστήματα παρακολούθησης συνεδριών χρηστών, όπως το Fraud Protection της Group-IB, για την ανίχνευση της παρουσίας κακόβουλου λογισμικού και τον αποκλεισμό ανώμαλων συνεδριών. Συνιστάται στους τελικούς χρήστες να αποφεύγουν να κάνουν κλικ σε ύποπτους συνδέσμους, να χρησιμοποιούν επίσημα καταστήματα εφαρμογών, να ελέγχουν τα δικαιώματα των εφαρμογών, να αποφεύγουν την προσθήκη άγνωστων επαφών, να επαληθεύουν τις τραπεζικές επικοινωνίες και να αναφέρουν αμέσως τις υποψίες απάτης στις τράπεζές τους.
523