.
Os cibercriminosos estão atacando os usuários do iOS com malware que rouba varreduras faciais dos usuários de dispositivos Apple para invadir e roubar dinheiro de contas bancárias – considerada uma inovação mundial.
Um grupo de crimes cibernéticos de língua chinesa, apelidado de GoldFactory pelos pesquisadores do Group-IB, começou a distribuir aplicativos trojanizados para smartphones em junho de 2023, no entanto, a versão mais recente do GoldPickaxe existe desde outubro.
GoldPickaxe e GoldPickaxe.iOS têm como alvo Android e iOS respectivamente, enganando os usuários para que realizem verificações biométricas que são usadas para contornar as mesmas verificações empregadas por aplicativos bancários legítimos no Vietnã e na Tailândia – o foco geográfico desses ataques contínuos.
Acredita-se que a versão iOS tenha como alvo apenas usuários na Tailândia, disfarçando-se como o aplicativo digital oficial de pensões do governo tailandês. Dito isto, alguns pensam que também chegou ao Vietname. Isto porque ataques muito semelhantes, que levaram ao roubo de dezenas de milhares de dólares, foram relatados na região no início deste mês.
“É digno de nota que GoldPickaxe.iOS é o primeiro Trojan iOS observado pelo Group-IB que combina as seguintes funcionalidades: coleta de dados biométricos das vítimas, documentos de identificação, interceptação de SMS e proxy de tráfego através dos dispositivos das vítimas”, disseram os pesquisadores. .
“Seu irmão Android tem ainda mais funcionalidades do que seu equivalente iOS, devido a mais restrições e à natureza fechada do iOS.”
Embora o malware para Android seja mais comum, dado que a plataforma permite aos usuários fazer o sideload de aplicativos, a descoberta do iOS chocou ainda mais os pesquisadores devido aos controles de segurança mais rígidos na plataforma da Apple.
A infecção do Android foi mais direta do que a da versão iOS, com aplicativos maliciosos simplesmente disponíveis para download/sideload por meio de uma loja Google Play falsa, mas aparentemente legítima.
Os pesquisadores também descobriram que a versão Android tinha muito mais disfarces do que a versão iOS – assumindo a forma de mais de 20 organizações governamentais, financeiras e de serviços públicos diferentes na Tailândia, e permitindo que invasores roubassem credenciais de todos esses serviços.
Como eles chegaram aos telefones da Apple?
No caso do iOS, os invasores tiveram que ser astutos. O primeiro método envolveu o abuso da plataforma TestFlight da Apple, que permite que aplicativos sejam distribuídos como betas antes do lançamento completo na App Store.
Depois que esse método foi frustrado, os invasores mudaram para uma engenharia social mais sofisticada. Isso envolveu influenciar os usuários a inscreverem seus dispositivos em um programa MDM, permitindo que os invasores enviassem aplicativos maliciosos para os dispositivos dessa maneira.
Em todos os casos, o contacto inicial com as vítimas foi feito pelos agressores que se faziam passar por autoridades governamentais na aplicação de mensagens LINE, uma das mais populares da região.
Por exemplo, em alguns casos, em Novembro, os criminosos fizeram-se passar por funcionários do Ministério das Finanças tailandês e ofereceram benefícios de pensão aos familiares idosos das vítimas.
A partir daí, as vítimas foram socialmente projetadas para baixar o GoldPickaxe por vários meios.
Depois que as varreduras biométricas foram capturadas, os invasores usaram essas varreduras, juntamente com software deepfake, para gerar modelos do rosto da vítima.
Os invasores baixariam o aplicativo bancário alvo em seus próprios dispositivos e usariam os modelos deepfake, juntamente com os documentos de identidade roubados e as mensagens SMS interceptadas, para invadir remotamente os bancos das vítimas.
A aplicação da tecnologia deepfake tem sido em grande parte uma ameaça hipotética para os profissionais de segurança da informação há anos, mas GoldPickaxe serve como outro lembrete de que a tecnologia agora está madura o suficiente para ser usada em ataques no mundo real e provavelmente sofrerá abusos nos próximos anos.
A biometria facial só foi obrigatória na Tailândia no ano passado, com planos anunciados pela primeira vez em março e data de aplicação marcada para julho. O Vietname está preparado para impor controlos semelhantes até Abril deste ano.
A partir de julho de 2023, todas as aplicações bancárias tailandesas tiveram de cumprir a nova iniciativa e substituir os códigos de acesso únicos por biometria facial para diminuir a ameaça de fraude financeira na região. Isso se aplica especificamente a transações superiores a 50.000 BAT (cerca de US$ 1.400).
Isso significa que o grupo GoldFactory conseguiu desenvolver um desvio personalizado para esta nova iniciativa de segurança em apenas alguns meses, destacando as capacidades e o conjunto de habilidades do invasor.
“GoldFactory é uma equipe engenhosa, com muitos truques na manga: falsificação de identidade, keylogging de acessibilidade, sites bancários falsos, alertas bancários falsos, telas de chamadas falsas, identidade e coleta de dados de reconhecimento facial”, disseram os pesquisadores.
“Dotados de diversas ferramentas, eles têm flexibilidade para selecionar e executar a mais adequada ao cenário. São uma equipe estratégica e bem orquestrada.
“Eles estão cientes de seu cenário-alvo e estão constantemente melhorando seu conjunto de ferramentas para adaptá-lo ao ambiente-alvo. Seus desenvolvedores também demonstram sua proficiência relativamente alta no desenvolvimento de software.”
A família de malware Gold
GoldPickaxe é a mais recente iteração dos numerosos trojans desenvolvidos pelo grupo criminoso GoldFactory.
O primeiro – GoldDigger – foi detectado em junho de 2023 e agia principalmente como um trojan bancário Android tradicional, garantindo o controle do dispositivo da vítima.
GoldDigger e GoldPickaxe compartilham código, mas têm objetivos principais diferentes. O primeiro concentra-se na recolha de credenciais bancárias, enquanto o segundo furta informações pessoais, incluindo capturas de rostos de vítimas, documentos de identidade, e assim por diante.
O GoldDiggerPlus foi lançado em setembro, adicionando funcionalidades adicionais e sofisticadas ao trojan GoldDigger básico, incluindo o APK GoldKefu, que é usado em conjunto com o GoldDiggerPlus.
“Em contraste com o GoldDigger, que depende principalmente do serviço de acessibilidade, o GoldDiggerPlus e o GoldKefu usam webfakes para coletar credenciais ou realizar chamadas fraudulentas direcionadas. Concluímos que o objetivo principal do GoldDiggerPlus é autenticar-se no servidor C2, realizar cliques automatizados quando as permissões são solicitado, grave a tela e transmita o feed via Real-Time Messaging Protocol (RTMP)”, disseram os pesquisadores.
“Ele também representa uma melhoria em relação ao GoldDigger na área de concessão de permissões. Agora adota uma abordagem mais modular e controlada, em que a permissão é solicitada e concedida quando o C2 emite o comando. Ele não concede todas as permissões de uma vez como o GoldDigger .”
GoldKefu oferece um recurso interessante porque integra o Agora SDK, permitindo chamadas de vídeo e voz em tempo real. Os invasores podem então iniciar ligações com as vítimas enquanto se fazem passar por representantes legítimos de suporte ao cliente das marcas que representam.
Os invasores podem enviar alertas falsos aos usuários do aplicativo, avisando-os de que 3 milhões de BAT foram transferidos de suas contas e entrando em contato com o banco se a transação não tiver sido autorizada.
Outros avisos incluem mensagens de erro falsas que aparecem quando o trojan impede a abertura de aplicativos bancários, solicitando que os usuários entrem em contato com o banco para ‘descongelar sua conta’.
Esses alertas possuem um botão de “contato” de um toque que, se iniciado dentro do horário de trabalho definido pelos cibercriminosos, iniciará uma ligação com os criminosos que operam essencialmente uma central de atendimento bancário fraudulenta para coletar mais informações.
Acredita-se que a versão Android do GoldPickaxe mais recente seja uma versão atualizada do GoldDiggerPlus, que também inclui o APK GoldKefu.
A versão iOS não possui esses recursos extensos devido à natureza fechada da plataforma iOS da Apple, disseram os pesquisadores.
“A adaptabilidade destes adversários cibernéticos é notável, como evidenciado pela evolução dos seus esquemas de fraude”, disse o Group-IB. “Além de refinar as capacidades do malware GoldDigger original, eles introduziram uma nova categoria de famílias de malware especializadas na coleta de dados de reconhecimento facial. Eles também desenvolveram uma ferramenta que facilita a comunicação direta entre vítimas e criminosos cibernéticos que se passam por centrais de atendimento bancárias legítimas. .
“Em conclusão, a evolução incessante das táticas cibercriminosas, exemplificada pela sofisticação do malware GoldFactory, sublinha a necessidade crítica de uma abordagem proativa e multifacetada à segurança cibernética, incluindo a educação dos utilizadores e abordagens de segurança modernas e integradas para detetar proativamente o aparecimento de novos trojans e notificar os usuários finais.” ®
.
