Um ator de ameaças de língua chinesa apelidado GoldFactory foi atribuído ao desenvolvimento de trojans bancários altamente sofisticados, incluindo um malware iOS anteriormente não documentado chamado GoldPickaxe, capaz de colher documentos de identidade, dados de reconhecimento facial e interceptar SMS.
"A família GoldPickaxe está disponível para as plataformas iOS e Android", disse o Group-IB, sediado em Singapura, em um extenso relatório compartilhado com The Hacker News.
"Acredita-se que o GoldFactory seja um grupo de cibercriminosos falantes de chinês bem organizado com conexões próximas com a Gigabud."
Ativo pelo menos desde meados de 2023, GoldFactory também é responsável por outro malware bancário baseado em Android chamado GoldDigger e sua variante aprimorada GoldDiggerPlus, bem como GoldKefu, um trojan embutido dentro do GoldDiggerPlus.
Campanhas de engenharia social distribuindo o malware foram encontradas visando a região da Ásia-Pacífico, especificamente Tailândia e Vietnã, disfarçadas de bancos locais e organizações governamentais.
Nesses ataques, as vítimas em potencial recebem mensagens de smishing e phishing e são orientadas a migrar a conversa para aplicativos de mensagens instantâneas como o LINE, antes de enviar URLs falsas que levam ao lançamento do GoldPickaxe nos dispositivos.
Alguns desses aplicativos maliciosos que visam o Android estão hospedados em sites falsos que se parecem com as páginas do Google Play Store ou sites corporativos falsos para concluir o processo de instalação.
GoldPickaxe para iOS, no entanto, emprega um esquema de distribuição diferente, com iterações sucessivas aproveitando a plataforma TestFlight da Apple e URLs armadilhados que solicitam aos usuários que baixem um perfil de Gerenciamento de Dispositivos Móveis (MDM) para conceder total controle sobre os dispositivos iOS e instalar o aplicativo desonesto.
Ambos os mecanismos de propagação foram divulgados pelo Thailand Banking Sector CERT (TB-CERT) e pelo Cyber Crime Investigation Bureau (CCIB), respectivamente, em novembro de 2023.
A sofisticação do GoldPickaxe também é evidente no fato de ter sido projetado para contornar as medidas de segurança impostas pela Tailândia, que exigem que os usuários confirmem transações maiores utilizando o reconhecimento facial para prevenir fraudes.
"GoldPickaxe solicita à vítima que grave um vídeo como método de confirmação no aplicativo falso", afirmaram os pesquisadores de segurança, Andrey Polovinkin e Sharmine Low.
"O vídeo gravado é então utilizado como matéria-prima para a criação de vídeos deepfake facilitados por serviços de inteligência artificial de troca de rostos."
Além disso, os sabores Android e iOS do malware estão equipados para coletar os documentos e fotos de ID da vítima, interceptar mensagens SMS recebidas e direcionar o tráfego através do dispositivo comprometido.
Suspeita-se que os atores GoldFactory usem seus próprios dispositivos para se autenticar no aplicativo bancário e realizar transferências não autorizadas de fundos.
Dito isso, a variante iOS apresenta menos funcionalidades quando comparada à sua contraparte Android, devido à natureza fechada do sistema operacional iOS e à natureza relativamente mais rigorosa das permissões do iOS.
A versão Android - considerada uma sucessora evolutiva do GoldDiggerPlus - também se passa por mais de 20 diferentes aplicativos do governo da Tailândia, do setor financeiro e de empresas de serviços públicos para roubar credenciais de login desses serviços.
No entanto, atualmente não está claro o que os atores da ameaça fazem com essas informações.
Outro aspecto notável do malware é seu abuso dos serviços de acessibilidade do Android para registrar teclas e extrair conteúdo na tela.
GoldDigger também compartilha semelhanças no nível do código com GoldPickaxe, embora seja principalmente projetado para roubar credenciais bancárias, enquanto este último é mais voltado para a coleta de informações pessoais das vítimas.
Nenhum artefato GoldDigger voltado para dispositivos iOS foi identificado até agora.
"A característica principal do GoldDigger é que ele tem como alvo mais de 50 aplicativos de empresas financeiras vietnamitas, incluindo os nomes dos pacotes no trojan", disseram os pesquisadores.
"Sempre que os aplicativos segmentados são abertos, ele salvará o texto exibido ou escrito na UI, incluindo senhas, quando são inseridas."
A versão base do GoldDigger, que foi descoberta pela primeira vez em junho de 2023 e ainda continua em circulação, abriu caminho para mais variantes atualizadas, incluindo GoldDiggerPlus, que vem com outro componente trojan APK chamado GoldKefu, para desencadear as ações maliciosas.
Afirma-se que GoldDiggerPlus surgiu em setembro de 2023, com o GoldKefu se passando por um popular aplicativo de mensagens vietnamita para sifonar credenciais bancárias associadas a 10 instituições financeiras.
Goldkefu também se integra ao Agora Software Development Kit (SDK) para facilitar as chamadas de voz e vídeo interativas e enganar as vítimas para que contatem um falso serviço de atendimento ao cliente do banco, enviando alertas falsos que induzem um falso senso de urgência, alegando que uma transferência de fundos da ordem de 3 milhões de Baht tailandeses ocorreu em suas contas.
Se houver alguma coisa, o desenvolvimento é um sinal de que a paisagem de malware móvel continua sendo um mercado lucrativo para os criminosos cibernéticos em busca de ganhos financeiros rápidos, mesmo enquanto encontram formas de contornar as medidas defensivas erguidas pelos bancos para combater tais ameaças.
Também demonstra a natureza sempre mutante e dinâmica dos esquemas de engenharia social visando entregar malware aos dispositivos das vítimas.
Para mitigar os riscos representados por GoldFactory e sua suíte de malware bancário móvel, é fortemente aconselhado não clicar em links suspeitos, instalar qualquer aplicativo de sites não confiáveis, pois eles são um vetor comum para malware, e revisar periodicamente as permissões concedidas aos aplicativos, especialmente aqueles solicitando serviços de acessibilidade do Android.
"GoldFactory é uma equipe engenhosa, hábil em várias táticas, incluindo falsificação de identidade, registro de teclas de acessibilidade, sites bancários falsos, alertas bancários falsos, telas de chamadas falsas, coleta de dados de identidade e reconhecimento facial", disseram os pesquisadores.
"A equipe é composta por grupos de desenvolvimento e operadores separados dedicados a regiões específicas."
"A gangue tem processos bem definidos e maturidade operacional, e constantemente aprimora seu conjunto de ferramentas para se alinhar com o ambiente visado, demonstrando uma alta proficiência no desenvolvimento de malware."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...