חברת האבטחה הסינגפורית Group-IB חשפה נוזקה טרויאנית חדשה בשם GoldPickaxe, המסוגלת לתקוף מכשירי אנדרואיד ו-iOS ולגנוב מהם מידע, כולל גם מידע ביומטרי.
הנוזקה נועדה לאפשר לתוקפים לגנוב כסף מחשבונות הבנק של המשתמשים, והיא המוגדרת על ידי חברת האבטחה כראשונה בעולם שנועדה לגנוב פרטי זיהוי פנים גם ממכשירי iOS.
הכירו את GoldPickaxe
לפי הפרסום החדש, נוזקת ה-GoldPickaxe נוצרה על ידי קבוצת ההאקרים הסינית GoldFactory, שהציגה בשלב הראשון ב-2023 נוזקה בשם GoldDigger שתקפה מכשירי אנדרואיד בלבד.
את הנוזקה החליפו GoldDiggerPlus ו-GoldKefu בספטמבר, כשלבסוף אותרה נוזקת ה-GoldPickaxe העדכנית בחודש אוקטובר האחרון, לאחר שהוסיפה תמיכה בתקיפת מכשירי iOS.
הנוזקה הייתה חלק ממתקפה רחבה יותר של קבוצת ההאקרים על משתמשים, כאשר הם השתמשו בהונאות פישינג שונות עם משלוח הודעות ואף שיחות ישירות עם המשתמשים על מנת להנחות אותם להתקין את הנוזקה על המכשיר הסלולרי שלהם.
במקרה של מכשירי אנדרואיד, קבוצת ההאקרים השתמשה בכ~20 אפליקציות מתחזות והאפשרות להתקנת אפליקציות מחוץ לחנות הרשמית של גוגל על מנת להדביק את המכשיר של המשתמשים בנוזקה, דבר שכנראה תרם להצגת פתרון האבטחה החדש של גוגל ב-Play Store Protect למניעת התקנות של אפליקציות חשודות מחוץ לחנות.
במקרה של מכשירי iOS קבוצת ההאקרים פעלה בשני מישורים, עם שליחת קישורים להתקנת גרסאות TestFlight (בטא) של אפליקציות שהכילו את הנוזקה, ובשלב מאוחר יותר על ידי הפניה לקישור עם פרופיל ניהול MDM (ר”ת mobile device management) שאפשר שליטה במכשיר והתקנת הסוס הטרויאני.
לפי הפרטים שפורסמו, נוזקת ה-GoldPickaxe הכילה את האפשרויות הבאות:
- דרישה מהמשתמשים לצלם את תעודת הזהות שלהם.
- לצלם וידאו של הפנים.
- לחטוף הודעות SMS.
- העברה של כל המידע שנאסף לשרת חיצוני עם אפשרות למחיקה של הסוס הטוריאני במידת הצורך.
לאחר שהתוקפים קיבלו את הפרטים של המשתמשים והמידע הביומטרי שלהם, הם היו יכולים להתחבר לאפליקציות הבנק של המשתמשים על מנת לבצע לעצמם העברות כספים.
בזמן שקבוצת ההאקרים התמקדה במשתמשים בויאטנם ותאילנד לביצוע התקיפות שלהם באמצעות נוזקת ה-GoldPickaxe, מדובר בעליית רמה בתחכום של תוקפים זדוניים נגד משתמשים, עם דגש על גניבת מידע ביומטרי במקרה של מכשירי iOS.
