'Goldpickaxe' adlı yeni bir iOS ve Android Truva, kurbanları, yetkisiz bankacılık erişimi için derin dişler üretmek için kullanıldığına inanılan yüzlerini ve kimlik belgelerini taramak için bir sosyal mühendislik planı kullanıyor.
Grup-IB tarafından tespit edilen yeni kötü amaçlı yazılım, 'GoldDigger', 'GolddiggerPlus' ve 'Goldkefu' gibi diğer kötü amaçlı yazılım suşlarından sorumlu olan 'GoldFactory' olarak bilinen Çin tehdit grubu tarafından geliştirilen bir kötü amaçlı yazılım paketinin bir parçasıdır.
Grup-IB, analistlerinin öncelikle Tayland ve Vietnam olmak üzere Asya-Pasifik bölgesini hedefleyen saldırılar gözlemlediğini söyledi. Bununla birlikte, kullanılan teknikler küresel olarak etkili olabilir ve diğer kötü amaçlı yazılım suşları tarafından benimsenme tehlikesi vardır.
Altın kazma dağılımı Ekim 2023'te başladı ve hala devam ediyor. Haziran 2023'te Gold Digger ile başlayan bir GoldFactory kampanyasının bir parçası olarak kabul ediliyor.
Mağdurlara, yerel dillerinde yazılan, hükümet yetkililerini veya hizmetlerini taklit eden çizgi uygulamasında kimlik avı veya dozlama mesajları ile yaklaşılır.
Mesajlar, Google Play'i taklit eden web sitelerinde barındırılan sahte 'dijital emeklilik' uygulaması gibi hileli uygulamalar yüklemeye çalışır.
İOS (iPhone) kullanıcıları için, tehdit aktörleri başlangıçta hedefleri kötü amaçlı uygulamayı yüklemek için bir TestFlight URL'sine yönlendirerek normal güvenlik inceleme sürecini atlamalarına izin verdiler.
Apple, TestFlight uygulamasını kaldırdığında, saldırganlar, tehdit aktörlerinin cihazlar üzerinde kontrolü ele geçirmesini sağlayan kötü amaçlı bir mobil cihaz yönetimi (MDM) profilini indirmeye hedeflere geçti.
Truva atı bir mobil cihaza sahte bir hükümet uygulaması şeklinde yüklendikten sonra, yarı özerk bir şekilde çalışır, arka planda işlevleri manipüle eder, kurbanın yüzünü yakalayarak, gelen SMS'yi ele geçirir, kimlik belgeleri talep eder ve ağ trafiğini vekalet eder. 'Microsocks' kullanılarak enfekte cihaz.
İOS cihazlarında, kötü amaçlı yazılım aşağıdaki komutları almak için bir Web soket kanalı oluşturur:
Yukarıdaki komutların yürütülmesinin sonuçları, HTTP istekleri aracılığıyla C2'ye geri iletilir.
Grup-IB, Truva atının Android sürümünün Apple'ın daha yüksek güvenlik kısıtlamaları nedeniyle iOS'tan daha fazla kötü amaçlı etkinlik gerçekleştirdiğini söylüyor. Ayrıca, Android'de Truva atı, 20'den fazla farklı sahte uygulamayı kapak olarak kullanıyor.
Örneğin, Goldpickaxe ayrıca SMS'ye erişmek, dosya sisteminde gezinmek, ekranda tıklamalar yapmak, kurbanın albümünden en son 100 fotoğrafı yükleyebilir, ek paketler indirip yükleyebilir ve sahte bildirimler sunabilir.
Mağdurların yüzlerinin banka sahtekarlığı için kullanımı, birçok finans enstitüsünün geçen yıl belirli bir miktarın üzerindeki işlemler için biyometrik kontroller eklemesine dayanarak, Tayland polisi tarafından da desteklenen Grup-IB tarafından bir varsayımdır.
Goldpickaxe, kurbanın yüzünü gösteren iOS ve Android telefonlardan görüntüler çalabilse de ve kullanıcıları sosyal mühendislik yoluyla videoda yüzlerini açıklamaya kandırabilirken, kötü amaçlı yazılım yüzü kimlik verilerini kaçırmaz veya iki mobilden herhangi bir güvenlik açığından yararlanmadığını açıklığa kavuştururken Oes.
Cihazların güvenli enklavlarında depolanan biyometrik veriler hala uygun şekilde şifrelenmiştir ve çalışan uygulamalardan tamamen izole edilmiştir.
GÜNCELLEME 2/16 - Bir Google sözcüsü, BleepingComputer'a Goldpickaxe tehdidi ile ilgili aşağıdaki yorumu gönderdi:
Android kullanıcıları, Google Play Services ile Android cihazlarda varsayılan olarak açık olan Google Play Protect tarafından bu kötü amaçlı yazılımların bilinen sürümlerine otomatik olarak korunur.
Google Play Protect, bu uygulamalar oyun dışındaki kaynaklardan gelse bile, kötü niyetli davranışlar sergilediği bilinen kullanıcıları veya blokları engelleyebilir.
Android Xloader kötü amaçlı yazılım artık kurulumdan sonra otomatik olarak yürütebilir
Google, casus yazılım satıcılarının çoğu sıfır günün arkasında olduğunu söylüyor
Google Play'e 330K kez yüklü yeni Xamalicious Android kötü amaçlı yazılım
Android kötü amaçlı yazılım bukalemun, pimleri çalmak için parmak izi kilidini devre dışı bırakır
Google Testleri Yandan yüklü Android uygulamalarını riskli izinlerle engelleyen
Kaynak: Bleeping Computer