GoldPickaxe は iOS トロイの木馬:APAC のバンキングを狙っている

iOS Trojan Collects Face and Other Data for Bank Account Hacking 

2024/02/19 SecurityWeek — 被害者の銀行口座から現金を盗む際に必要とされる、情報を取得するために設計された新しい iOS トロイの木馬を、中国のサイバー犯罪グループが配布していることを、サイバーセキュリティ企業 Group-IB の研究者たちが発見した。この GoldFactoryとして追跡されているマルウェアは、2023年に発見されたものであり、APAC 地域を標的としていると推測され、現在までにタイやベトナムで攻撃が行われているようだ。


これまでのサイバー犯罪者たちは、銀行の認証情報などの機密情報を盗むために設計された、Androidトロイの木馬の開発に重点を置いてきた。研究者たちは、それらを GoldDigger/GoldDiggerPlus/GoldKefu などと呼んできたが、この数ヶ月の間に脅威アクターたちは、GoldPickaxe と名付けられたマルウェアを作成した。研究者たちによると、GoldPickaxe には Android と iOS に対応するバージョンがあり、2023年10月ころから存在していたらしい。

この GoldPickaxe トロイの木馬は、感染させたモバイル・デバイスからフェイス・プロフィール/身分証明書/SMS メッセージを収集するように設計されている。つまり、脅威アクターは、それらのデータを悪用することで、被害者の銀行口座にアクセスして、不正送金を行う。

タイにおいては、顧客が多額の送金を希望する場合に、銀行が顔認証チェックを要求することがある。したがって、GoldPickaxe トロイの木馬が収集する情報は、この種のセキュリティ・チェックの通過を容易にすると思われる。

GoldPickaxe マルウェアの iOS バージョンは、感染させた iPhone のライブラリから写真や SMS メッセージを採取し、被害者の顔をキャプチャする。さらに、感染させたデバイスを介して、ネットワーク・トラフィックをプロキシすることも可能だという。また、被害者に ID カードの写真を提供するよう指示することも可能だ。

悪意の活動により取得された情報は、AI を搭載した顔交換サービスと組み合わされ、ディープフェイクが作成されると、Group-IB は報告している。

タイ政府のアプリを装う iOS マルウェアは、Apple App Store にリリースされる前のアプリ・テストのために設計された、Apple の開発者ツール TestFlight を介してデバイスにインストールされていた。

そして、Apple が TestFlight の悪用を防止する措置を講じると、ハッカーたちは MDM (mobile device management) の悪用に目をつけた。具体的に言うと、被害者を騙して MDM プロファイルをインストールさせた iOS デバイスに、攻撃者たちはマルウェアのダウンロード/インストールを可能にしていく。

GoldPickaxe の Android バージョンは、20カ国以上における政府/金融/公共の偽アプリを通じて配信されており、iOS バージョンと比較して、より多くの機能を備えている。

被害者を騙して悪意のアプリをインストールさせるために、サイバー犯罪者たちが行うのは、ターゲットへ向けた、SMS メッセージの送信や、電話による工作である。それにより、トロイの木馬をデバイスに展開するための説得を行う。

この作戦の首謀者は中国語を話すように見えるが、その他の言語圏においても、当地のグループと協力している可能性があると、Group-IB は考えている。

このグループによる不正送金が、被害者のデバイスからダイレクトに行われていないことも注目に値する。つまり、一連のトロイの木馬を配信する、脅威アクターたちの活動の範囲は、被害者のデバイスに悪意のバンキング・アプリをインストールさせ、被害者の口座から現金を盗むために必要な情報を得ることだけに、限定されている可能性が高い。

GoldPickaxe がベトナムで使用されたという明確な証拠を、Group-IB は掴んでいないと言うが、この種のマルウェアが関与している可能性がある、インシデントに関する最新ニュースがある。そして、ベトナムの中央銀行は、送金に顔認証を義務付ける準備を進めている。

Group-IB は、「APAC の2カ国に焦点を当てた範囲で、現時点における証拠は集められているが、ベトナムとタイ以外に GoldFactory の活動地域が広がっている可能性があるという、新たな兆候が現れている」と述べている。

このところ、モバイル関連のトピックを拾う余裕がありませんでしが、同じく 2月19日の「Anatsa という Android トロイの木馬:Google Play のセキュリティを回避していた」に続いて、この記事のポストとなりました。タイトルには、” iOS トロイの木馬” と書いていますが、Android から iOS へと拡張してきた Gold*** 系のマルウェアの話です。そして、先ほどの Anatsa も、この GoldPickaxe も、狙いはバンキングです。よろしければ、iPhone で検索も、ご利用ください。