Thought Leadership
GoldPickaxe.iOS ist der erste von Group-IB beobachtete iOS-Trojaner, der mehrere Funktionen kombiniert: Sammeln biometrischer Daten und ID-Dokumente der Opfer, Abfangen von SMS und Proxy-Verkehr über die Geräte der Opfer. Die Android-Variante bietet sogar noch mehr Funktionen als ihr iOS-Gegenstück, was auf die geschlossene Natur von iOS zurückzuführen ist.
GoldPickaxe stiehlt das Geld nicht direkt vom Telefon des Opfers. Stattdessen sammelt es alle notwendigen Informationen, um Video-Deepfakes zu erstellen und selbstständig auf die Bankanwendung des Opfers zuzugreifen. Die Gesichtserkennung für die Überprüfung von Transaktionen und die Authentifizierung bei Anmeldung wird von thailändischen Finanzinstituten aktiv genutzt. Während der Untersuchung stellte Group-IB fest, dass der Trojaner eindeutig in der Lage ist, die Opfer dazu aufzufordern, ihr Gesicht zu scannen und ID-Fotos einzureichen.
Dennoch haben die Forscher der Group-IB keine dokumentierten Fälle beobachtet, in denen Cyberkriminelle die gestohlenen Daten genutzt hätten, um sich unbefugten Zugang zu den Bankkonten der Opfer zu verschaffen. Die Hypothese von Group-IB ist eher die, dass die Cyberkriminellen ihre eigenen, vermutlich Android-basierten Geräte verwenden, um sich in die Bankkonten der Opfer einzuloggen. Die thailändische Polizei bestätigte die Vermutung von Group-IB und erklärte, dass die Cyberkriminellen Bankanwendungen auf ihren eigenen Android-Geräten installieren. Sie nutzen die erfassten Gesichtsscans, um die Gesichtserkennungsprüfung zu umgehen und sich unbefugt Zugang zu den Konten der Opfer zu verschaffen.
GoldDigger-Familie wächst
Nach der ersten Entdeckung des GoldDigger-Trojaners im Juni 2023 hat die Threat-Intelligence-Einheit von Group-IB eine neue, fortgeschrittene Variante der Android-Malware identifiziert: GoldDiggerPlus. Das erste im September 2023 identifizierte Beispiel enthielt einen eingebetteten zweiten Trojaner, den Group-IB GoldKefu nannte. „Kefu“ bedeutet auf Chinesisch Kundenservice. Diese Zeichenfolge tauchte im Code der Schadsoftware immer wieder auf. GoldDiggerPlus und Kefu arbeiten parallel, um ihre Fähigkeiten voll auszuschöpfen.
Im Gegensatz zu GoldDigger, das sich auf Zugangsdienste stützt, verwenden GoldDiggerPlus und GoldKefu Web-Fakes, die sich als zehn vietnamesische Banken ausgeben, um Bankdaten zu sammeln. GoldKefu prüft, ob die zuletzt auf dem infizierten Gerät geöffnete Anwendung zur Liste der anvisierten Banking-Apps gehört. Wenn eine Übereinstimmung gefunden wird, startet stattdessen eine gefälschte Overlay-Anmeldeseite, die die legitime Anwendung imitiert. GoldKefu ermöglicht es Cyberkriminellen auch, den Opfern gefälschte Warnmeldungen zu senden und sie in Echtzeit anzurufen.
Wenn das Opfer auf die gefälschte Schaltfläche „Kundendienst kontaktieren“ klickt, prüft GoldKefu, ob die aktuelle Uhrzeit in die Arbeitszeiten der Cyberkriminellen fällt. Wenn dies der Fall ist, versucht die Malware, einen freien Telefonisten zu finden, den sie anrufen kann. Es wird daher vermutet, dass GoldFactory möglicherweise Telefonisten beschäftigt, die Thailändisch und Vietnamesisch beherrschen, oder sogar ein Callcenter betreibt.
Wer ist auf Gold gestoßen?
Group-IB führt das gesamte Bedrohungs-Cluster auf einen einzigen, hoch entwickelten chinesischsprachigen Bedrohungsakteur mit dem Namen GoldFactory zurück. In allen Malware-Varianten wurden Debugging-Strings in chinesischer Sprache gefunden, und auch die C2-Panels waren auf Chinesisch.
GoldFactory ist ein einfallsreiches Team, das verschiedene Taktiken beherrscht, etwa Nachahmung, Keylogging, gefälschte Bank-Websites, Bankwarnungen und Anrufbildschirme sowie Identitäts- und Gesichtserkennung inklusive Datenerfassung. Das Team besteht aus separaten Entwicklungs- und Benutzergruppen, die für bestimmte Regionen zuständig sind.
Die Ankündigung der thailändischen Politik zur biometrischen Gesichtsverifizierung, die im März 2023 veröffentlicht und im Juli in Kraft getreten ist, fiel mit der Entdeckung der ersten Spuren von GoldPickaxe Anfang Oktober zusammen. Die Gruppe hatte insgesamt drei Monate Zeit, um neue Funktionen zur Erfassung von Gesichtserkennungsdaten zu erforschen, zu entwickeln und zu testen.
Bei der Analyse der Trojaner von GoldFactory fanden die Forscher der Group-IB außerdem Ähnlichkeiten zwischen deren Malware und Gigabud – einem starken Banking-Trojaner, der auf Thailand, Vietnam und einige Länder in Lateinamerika abzielt. Es gibt jedoch nicht genügend Beweise dafür, dass zu dem Zeitpunkt GoldFactory zur Entwicklung von Gigabud beigetragen hätte. Laut Group-IB sei aber GoldFactory höchstwahrscheinlich an seiner Verbreitung beteiligt.
Fazit
„Der Anstieg mobiler Trojaner im asiatisch-pazifischen Raum kann auf GoldFactory zurückgeführt werden“, sagt Andreas Stein, Business Development Manager, DACH, Group-IB. „Die cyberkriminelle Gruppierung verfügt über klar definierte Prozesse sowie eine hohe operative Reife und verbessert ständig ihr Toolset, um es an die Zielumgebung anzupassen. Das stellt ihre hohe Kompetenz bei der Entwicklung von Malware unter Beweis. Die Entdeckung eines ausgeklügelten iOS-Trojaners zeigt, dass sich die Cyberbedrohungen ständig weiterentwickeln. Unserer Einschätzung nach ist davon auszugehen, dass GoldPickaxe bald weitere Länder erreichen wird, während seine Techniken und Funktionen aktiv in Malware für andere Regionen integriert werden.“
Für Banken und Finanzorganisationen empfehlen die Experten von Group-IB die Implementierung eines Systems zur Überwachung der von Anwendern geöffneten Sitzungen wie Group-IBs Fraud Protection. Damit ist es möglich, das Vorhandensein von Malware zu erkennen und abnormales Verhalten zu blockieren, noch bevor der Benutzer persönliche Daten eingibt. Die Empfehlungen für Endnutzer lauten wie folgt: Vermeiden Sie es, auf verdächtige Links zu klicken, verwenden Sie offizielle App-Stores, um Anwendungen herunterzuladen, überprüfen Sie die Berechtigungen aller Apps, fügen Sie keine unbekannten Kontakte hinzu, überprüfen Sie die Legitimität von Bankmitteilungen und handeln Sie bei Betrugsverdacht umgehend, indem Sie Ihre Bank kontaktieren.
www.group-ib.com
