Un actor de amenazas de habla china con nombre en código fábrica de oro se ha atribuido al desarrollo de troyanos bancarios altamente sofisticados, incluido un malware para iOS no documentado anteriormente llamado GoldPickaxe que es capaz de recopilar documentos de identidad, datos de reconocimiento facial e interceptar SMS.
“La familia GoldPickaxe está disponible para plataformas iOS y Android”, Group-IB, con sede en Singapur dicho en un extenso informe compartido con The Hacker News. “Se cree que GoldFactory es un grupo de cibercrimen bien organizado de habla china y con estrechas conexiones con Gigabud”.
Activo desde al menos mediados de 2023, GoldFactory también es responsable de otro malware bancario basado en Android llamado GoldDigger y su variante mejorada GoldDiggerPlus, así como GoldKefu, un troyano integrado dentro de GoldDiggerPlus.
Se ha descubierto que las campañas de ingeniería social que distribuyen el malware se dirigen a la región de Asia y el Pacífico, específicamente Tailandia y Vietnam, haciéndose pasar por bancos locales y organizaciones gubernamentales.
En estos ataques, a las posibles víctimas se les envían mensajes de smishing y phishing y se les guía para cambiar la conversación a aplicaciones de mensajería instantánea como LINE, antes de enviar URL falsas que conducen a la implementación de GoldPickaxe en los dispositivos.
Algunas de estas aplicaciones maliciosas dirigidas a Android están alojadas en sitios web falsificados que se asemejan a páginas de Google Play Store o sitios web corporativos falsos para completar el proceso de instalación.
GoldPickaxe para iOS, sin embargo, emplea un esquema de distribución diferente, con iteraciones sucesivas que aprovechan la plataforma TestFlight de Apple y URL trampa que solicitan a los usuarios descargar un perfil de administración de dispositivos móviles (MDM) para otorgar control completo sobre los dispositivos iOS e instalar la aplicación maliciosa. .
Ambos mecanismos de propagación fueron revelados por el CERT del sector bancario de Tailandia (TB-CERT) y la Oficina de Investigación de Delitos Cibernéticos (CCIB), respectivamente, en noviembre de 2023.
La sofisticación de GoldPickaxe también es evidente en el hecho de que está diseñado para eludir las medidas de seguridad impuestas por Tailandia que requieren que los usuarios confirmen transacciones más grandes mediante reconocimiento facial para evitar el fraude.
“GoldPickaxe pide a la víctima que grabe un vídeo como método de confirmación en la aplicación falsa”, dijeron los investigadores de seguridad Andrey Polovinkin y Sharmine Low. “El vídeo grabado se utiliza luego como materia prima para la creación de vídeos deepfake facilitados por servicios de inteligencia artificial de intercambio de rostros”.
Además, las versiones del malware para Android e iOS están equipadas para recopilar documentos de identificación y fotografías de la víctima, interceptar mensajes SMS entrantes y tráfico proxy a través del dispositivo comprometido. Se sospecha que los actores de GoldFactory utilizan sus propios dispositivos para iniciar sesión en la aplicación bancaria y realizar transferencias de fondos no autorizadas.
Dicho esto, la variante de iOS muestra menos funcionalidades en comparación con su contraparte de Android debido a la naturaleza cerrada del sistema operativo iOS y la naturaleza relativamente más estricta de los permisos de iOS.
La versión de Android, considerada un sucesor evolutivo de GoldDiggerPlus, también presenta más de 20 aplicaciones diferentes del gobierno de Tailandia, el sector financiero y las empresas de servicios públicos para robar credenciales de inicio de sesión de estos servicios. Sin embargo, actualmente no está claro qué hacen los actores de amenazas con esta información.
Otro aspecto notable del malware es su abuso de los servicios de accesibilidad de Android para registrar las pulsaciones de teclas y extraer contenido en pantalla.
GoldDigger también comparte similitudes a nivel de código con GoldPickaxe, aunque está diseñado principalmente para robar credenciales bancarias, mientras que este último está más orientado a recopilar información personal de las víctimas. Hasta la fecha no se han identificado artefactos GoldDigger dirigidos a dispositivos iOS.
“La característica principal de GoldDigger es que apunta a más de 50 aplicaciones de compañías financieras vietnamitas, incluyendo los nombres de sus paquetes en el troyano”, dijeron los investigadores. “Siempre que se abran las aplicaciones específicas, se guardará el texto mostrado o escrito en la interfaz de usuario, incluidas las contraseñas, cuando se ingresen”.
La versión base de GoldDigger, que se descubrió por primera vez en junio de 2023 y continúa en circulación, desde entonces ha allanado el camino para variantes más actualizadas, incluido GoldDiggerPlus, que viene integrado con otro componente APK troyano denominado GoldKefu, para desencadenar acciones maliciosas. .
Se dice que GoldDiggerPlus surgió en septiembre de 2023, cuando GoldKefu se hizo pasar por una popular aplicación de mensajería vietnamita para desviar credenciales bancarias asociadas con 10 instituciones financieras.
Goldkefu también se integra con el kit de desarrollo de software Agora (SDK) para facilitar llamadas interactivas de voz y vídeo y engañar a las víctimas para que se pongan en contacto con un servicio de atención al cliente de un banco falso mediante el envío de alertas falsas que inducen una falsa sensación de urgencia al afirmar que se ha realizado una transferencia de fondos por valor de 3 millones de baht tailandeses en sus cuentas.
En todo caso, el desarrollo es una señal de que el panorama del malware móvil sigue siendo un mercado lucrativo para los ciberdelincuentes que buscan ganancias financieras rápidas, incluso cuando encuentran formas de eludir las medidas defensivas establecidas por los bancos para contrarrestar tales amenazas. También demuestra la naturaleza dinámica y en constante cambio de los esquemas de ingeniería social que tienen como objetivo entregar malware a los dispositivos de las víctimas.
Para mitigar los riesgos que plantea GoldFactory y su conjunto de malware para banca móvil, se recomienda encarecidamente no hacer clic en enlaces sospechosos, instalar aplicaciones de sitios que no sean de confianza, ya que son un vector común de malware, y revisar periódicamente los permisos otorgados a las aplicaciones. particularmente aquellos que solicitan los servicios de accesibilidad de Android.
“GoldFactory es un equipo ingenioso experto en diversas tácticas, incluida la suplantación de identidad, el registro de teclas de accesibilidad, sitios web bancarios falsos, alertas bancarias falsas, pantallas de llamadas falsas, identidad y recopilación de datos de reconocimiento facial”, dijeron los investigadores. “El equipo comprende grupos separados de desarrollo y operadores dedicados a regiones específicas”.
“La pandilla tiene procesos bien definidos y madurez operativa y mejora constantemente su conjunto de herramientas para alinearse con el entorno objetivo, mostrando una alta competencia en el desarrollo de malware”.