Widzieliśmy złośliwe oprogramowanie, które chciało ukraść Twoje pliki, pieniądze, a nawet tożsamość, ale nowe mobilne szkodliwe oprogramowanie „Gold Pickaxe” idzie o krok dalej. To paskudne, małe oprogramowanie działa zarówno na Androidzie, jak i iOS, i kradnie twarz ofiary. Badacze bezpieczeństwa ostrzegają, że złośliwe oprogramowanie może zostać wykorzystane do tworzenia fałszywych wersji ofiary w celu popełnienia oszustwa finansowego.
Nowe szkodliwe oprogramowanie zostało wykryte przez firmę zajmującą się bezpieczeństwem Group-IB, która powiązała je z chińskim ugrupowaniem zagrażającym znanym jako GoldFactory. Najnowsze przedsięwzięcie grupy opiera się na poprzednich kampaniach szkodliwego oprogramowania, takich jak GoldDigger, GoldDiggerPlus i GoldKefu. Nowy Gold Pickaxe działa głównie w regionie Azji i Pacyfiku, zwłaszcza w Tajlandii, ale Group-IB podkreśla, że tę samą technikę można zastosować wszędzie.
Advertisement
GoldPickakxe nie wykorzystuje żadnych luk w zabezpieczeniach systemów Android ani iOS — jest to dobry, staromodny atak socjotechniczny. Operatorzy szkodliwego oprogramowania zaczynają od wysyłania wiadomości za pomocą aplikacji do przesyłania wiadomości, takich jak Line, podając się za reprezentowanie agencji rządowych. Kierują ofiary posiadające telefony z systemem Android do pobrania aplikacji ze strony internetowej podszywającej się pod Sklep Google Play. Użytkownicy iPhone’a początkowo używali profilu Apple TestFlight do zainstalowania szkodliwego oprogramowania, ale po usunięciu przez Apple tej aplikacji napastnicy przeszli na złośliwy profil zarządzania urządzeniami mobilnymi (MDM), który umożliwiał im kontrolowanie urządzenia.
W tym momencie ofiara korzystająca z fałszywej aplikacji rządowej proszona jest o podanie dużej ilości danych osobowych. Aplikacja przechwytuje obrazy dokumentu tożsamości ofiary i może kraść ostatnio zrobione zdjęcia. Prosi także użytkownika o nakręcenie filmu przedstawiającego twarz aparatem telefonu. Interfejs wygląda podobnie do legalnych systemów odblokowywania twarzy, ale wideo jest wysyłane bezpośrednio do serwera dowodzenia i kontroli szkodliwego oprogramowania. Klient Androida ma kilka dodatkowych funkcji, takich jak dostęp do SMS-ów, dzięki bardziej liberalnemu charakterowi platformy.
Niektóre instytucje finansowe, szczególnie te w Azji Południowej, zaczęły wymagać weryfikacji biometrycznej w przypadku dużych transakcji, aby GoldPickaxe mógł umożliwić znaczną kradzież pieniędzy. Tajska policja potwierdziła, że napastnicy wykorzystali skradzione twarze do przelania środków z kont ofiar. Systemy rozpoznawania twarzy, które nie korzystają z danych 3D, są niezwykle łatwe do oszukania.
Co ważne, złośliwe oprogramowanie nie może uzyskać dostępu do danych biometrycznych w Twoim telefonie, raporty Piszczący komputer. Dane te są zaszyfrowane i mogą zostać skradzione jedynie poprzez poważną lukę w zabezpieczeniach. w tej aplikacji chodzi o oszukiwanie ludzi. Niestety, wygląda na to, że radzi sobie całkiem nieźle.
Advertisement