גם אפל לא חסינה מפריצות
חברת הסייבר Group-IB חשפה את,
הסוס הטרויאני הראשון במערכת ההפעלה iOS של אפל!
הוא נקרא GoldPickaxe.iOS והוא מסוגל לגנוב נתוני זיהוי פנים ומסמכי זהות של משתמשים.
GoldPickaxe.iOS תוכנן ע״פ המקור גם לגנוב הודעות SMS.
יחידת מודיעין הסייבר של החברה זיהתה את התוכנה הזדונית כיצירה של פושע סייבר דובר סינית, המכונה GoldFactory.
קבוצת ההאקרים GoldFactory קשורה ליצירת ארסנל מקיף של טרויאנים בנקאיים מתוחכמים, כולל:
GoldDigger, GoldDiggerPlus, GoldKefu, ו-GoldPickaxe לאנדרואיד
חשוב לציין כי לא רק מידע אישי מעניין את קבוצת הפשע הזו.
הם משתמשים בנתונים ביומטריים שנגנבו בדרך חדשנית,
באמצעות שירותי החלפת פנים באמצעות AI ליצירת דיפפייקס (Deep Fake),
תוך החלפת הפנים שלהם בפנים של קורבנותיהם.
שיטה זו, שעדיין לא נתקלו בה חוקרי Group-IB,
עשויה לאפשר לפושעי סייבר לקבל גישה בלתי חוקית לחשבונות הבנק של קורבנותיהם.
הטרויאנים המתקדמים ביותר של GoldFactory ממקדים את
מטרותיהם באזור אסיה-פסיפיק, במיוחד בתאילנד ובווייטנאם.
הם מתחזים לבנקים מקומיים ולארגוני ממשלה כדי לבצע את פעילויותיהם הבלתי חוקיות.
לפי Group-IB, גילוי GoldPickaxe.iOS הוא מקרה נדיר
של תוכנה זדונית הממוקדת במיוחד במערכת ההפעלה iOS של אפל.
החל מאוקטובר 2023, הגילוי הראשוני של GoldDigger
הצביע על כך שפעילויותיה הזדוניות יתרחבו מעבר לווייטנאם.
פחות מחודש לאחר מכן, יחידת מודיעין הסייבר של Group-IB זיהתה גרסה חדשה
של תוכנה זדונית ב-iOS הממוקד בקורבנות מתאילנד, שלאחר מכן זוהה כ-GoldPickaxe.iOS.
ה-GoldPickaxe לאנדרואיד בא בעקבותיו.
בפברואר 2024, אזרח וייטנאמי נפל קורבן לתוכנה הזדונית הזו.
האדם ביצע פעולות שביקשה אפליקציה זדונית, כולל סריקת זיהוי פנים.
זה אפשר להאקרים למשוך סכום ששווה ליותר מ-40,000 דולר.
Group-IB חושדת כי GoldPickaxe הגיע כעת גם לווייטנאם.
GoldPickaxe.iOS מתחזה לאפליקציות
שירותי ממשל תאילנדיות ומבקש מידע משתמש,
במטרה לבנות פרופיל ביומטרי פנים מקיף ולרשום פרטי תעודת זהות.
בנוסף, הפושע מבקש את מספר הטלפון של הקורבנות.
מידע מפורט זה נדרש כדי לאסוף מידע על חשבונות הבנק המשויכים לקורבן.
במקום לגנוב כסף ישירות מטלפוני הקורבנות GoldPickaxe,
אוסף את כל המידע הנחוץ ליצירת דיפפייק וידאו ולגישה אוטונומית לחשבונות הבנק של הקורבנות.
זיהוי פנים נמצא בשימוש נרחב על ידי ארגונים פיננסיים תאילנדיים לאימות עסקאות ואימות כניסה.
חוקרי Group-IB טוענים כי GoldFactory
משתמשת במכשירים משלה, כנראה מסוג אנדרואיד,
כדי להיכנס לחשבונות הבנק של הקורבנות באמצעות סריקות הפנים שנתפסו כדי לעקוף בדיקות זיהוי פנים.
הנחה זו אושרה על ידי המשטרה התאילנדית.
אנדריי פולובינקין, אנליסט תוכנות זדוניות בצוות מודיעין הסייבר של Group-IB,
מציע כי העלייה בטרויאנים ניידים של GoldFactory הממוקדים באזור אסיה-פסיפיק
מעידה על "תהליכים מתוכננים היטב ובשלות לפעולות" של הקבוצה.
הם ממשיכים לשפר את ערכת הכלים שלהם כדי להתאים
לסביבה שהם מכוונים אליה, מציגים כישורים גבוהים בפיתוח תוכנות זדוניות.
"נראה שזה רק עניין של זמן עד ש-GoldPickaxe יגיע לחופי וייטנאם,
והשיטות שלהם ישולבו באופן פעיל בתוכנות זדוניות הממוקדות באזורים אחרים,"
אומר פולובינקין.
המלצה לבנקים ולארגונים פיננסיים?
אנשי הצוות מ- Group-IB ממליצים ליישם מערכת ניטור פעילות משתמש,
כדי לזהות את נוכחות התוכנה הזדונית ולחסום פעילויות חריגות לפני שנכנס מידע אישי.
למשתמשים הקצה, מומלץ להימנע מלחצות על קישורים חשודים,
להשתמש בחנויות אפליקציות רשמיות להורדת אפליקציות ולבדוק את הרשאות כל האפליקציות.
