▶︎セキュリティニュース▶︎情報セキュリティ▶︎ハッカー集団・脅威アクター▶︎iOSとAndroidに対応したトロイの木馬(GoldPickaxe)を発見|顔認証データやSMSも傍受

情報セキュリティ

iOSとAndroidに対応したトロイの木馬(GoldPickaxe)を発見|顔認証データやSMSも傍受

iOSとAndroidに対応したトロイの木馬を発見

シンガポールに本社のある情報セキュリティ会社Group-IB(グループIB)の脅威インテリジェンス部門がiOSに対応したトロイの木馬「GoldPickaxe.iOS」を発見したと発表しました。

さらに新たに特定された GoldDiggerPlus、GoldKefuなどのマルウェアおよび Android 向けの GoldPickaxe.Android などのトロイの木馬もあり、中国語を話すサイバー攻撃集団、「 GoldFactory 」の犯行であるとされています。

GoldFactory のトロイの木馬達は、タイやベトナムなどのアジア太平洋地域を標的としており、
地元の銀行や政府機関になりすましています。

引用:https://www.group-ib.com/blog/goldfactory-ios-trojan/

関連記事

中国政府へRATを提供していた企業 I-SOON から内部リーク

各マルウェアの概要

各マルウェアの概要は以下です。

・GoldDigger は、アクセシビリティ サービスを悪用し、サイバー犯罪者にデバイスの制御を許可する、古典的な Android向けの トロイの木馬です。

・GoldDiggerPlusも、GoldDigger の機能を拡張する Android マルウェアです。
GoldDiggerPlus内に埋め込まれたトロイの木馬であるGoldKefuには、Web 偽装機能が含まれており、被害者へリアルタイムで音声通話を行うことができます。

・GoldPickaxe は、iOS と Android の両方のプラットフォーム向けに設計されたトロイの木馬です。GoldPickaxe は、被害者から個人情報や生体認証データなどの情報を収集し、外部に持ち出すために使用されます。

iOSとAndroidに対応したトロイの木馬「GoldPickaxe」の概要

このGoldPickaxeはユーザーの顔認証データや生体データの収集、SMSの傍受する機能があります。

特に顔の認証データや生体データはディープフェイクの作成に利用可能で、銀行への本人認証を突破する事が可能になります。

GoldPickaxe.iOSの被害

GoldPickaxe.iOS は、タイ政府サービス アプリを装ったものでユーザーに顔の生体認証プロファイルを作成し、身分証明書の写真を撮るように要求します。
さらに、攻撃者は被害者に関する詳細を取得するために電話番号を要求し、特に被害者の銀行口座に関する情報を求めます。

タイ政府は特定の金額の振込には生体認証での本人確認を行う法律を、2023年3月に発表、2023年7月に施行しており、このタイミングに合わせたようで2023年10月初旬にGoldPickaxeの最も初期の痕跡が発見されています。

ベトナムでの被害

また直接的な証拠はないですが、GoldPickaxeはベトナムにも到達したと考えられており、

ニュースによると ベトナムのハノイ市在住のPさんは、自分が住む区の行政職員を名乗る人物から電話を受け、自宅で住民コードを統合する必要があると言われました。

この詐欺犯はPさんに偽の「Dịch vụ công(公共サービス)」アプリをダウンロードするように指示しました。Pさんは本物の職員だと信じてアプリをダウンロードし、指示に従って操作を実行しました。
その中にはカメラによる顔認証も含まれていました。
結果的に、このPさんは証券口座から30億ドン(1800万円)が引き出されている事に気づきました。

この手口からGroup-IBはGoldPickaxeではないか考えています。
なお、ベトナムでは2024年4月1日に全ての金融機関の送金では、顔認証が義務付けられる計画があり
今後も同様の被害が増加されると予想されます。


引用:https://www.group-ib.com/blog/goldfactory-ios-trojan/

GoldPickaxe.iOSの配布スキーム

攻撃者は、最初にマルウェアを配布するために Apple のモバイル アプリケーション テスト プラットフォームであるTestFlightを利用しましたがTestFlight から悪意のあるアプリが削除された後に

多段階のソーシャル エンジニアリングを利用して、被害者にモバイル デバイス管理 (MDM) プロファイルをインストールするよう説得しました。これにより、攻撃者は被害者のデバイスを完全に制御できるようになりました。

サイバー攻撃者が被害者の銀行口座に不正アクセスするために使用される可能性があり、Group-IB のリサーチャーがこれまで確認したことのない新しい詐欺手法も発生しています。

中国系サイバー攻撃集団「GoldFactory」概要

GoldFactory は、なりすまし、キーロギング、偽の銀行 Web サイトの作成、偽の銀行アラート、
偽の通話画面、ID、顔認識データ収集など、さまざまな戦術に熟達した集団です。
このチームは、特定の地域に特化した個別の開発グループとオペレーター グループで構成されています。

トロイの木馬の侵入を防ぐには?

トロイの木馬の侵入を防ぐには

・怪しいメール、SMSは開かない

・怪しいリンクはクリックしない

・サイトが公式サイトかURLをチェックする

が必要になります。

関連記事

安洵信息技术有限公司(I-SOON)が中国政府向けにRATやサイバー攻撃ツールを提供し、「世論工作システム」として日本の新聞にも取り上げげられました。I-SOON 中国政府へRATを提供していた企業から内部リーク XZ Utilsにバックドアが仕込まれていた (CVE-2024-3094)XZ Utilsにバックドアが仕込まれていた (CVE-2024-3094) 富士通で個人情報漏洩の恐れ マルウェア感染も富士通で個人情報漏洩の恐れ マルウェア感染も Google Play でマルウェアが混入されたアプリが550万回ダウンロードされるGoogle Play(グーグルプレイ)でマルウェアが混入されたアプリが550万回ダウンロードされる JavaScriptのライブラリ「Polyfill.io」がサプライチェーン攻撃に悪用 10万以上のサイトに影響JavaScriptのライブラリ「Polyfill.io」がサプライチェーン攻撃に悪用 10万以上のサイトに影響 偽のグーグルクロームアップデートでPowerShellを実行させる偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導 ランサムウェア 事例解説|被害の内容をランサムウェアの種類別に紹介ランサムウェア 事例|被害の内容をランサムウェアの種類や企業別に解説 ランサムウェア集団がPuTTYとWinSCPのマルバタイジング攻撃でWindows管理者を標的ランサムウェア グループがPuTTYとWinSCPのマルバタイジング攻撃でWindows管理者を標的にしている AndroidやWindows端末に感染するマルウェアが偽のウイルス対策ソフトメーカーのサイトで拡散AndroidやWindows端末に感染するマルウェアがウイルス対策ソフトメーカーの偽サイトで拡散
TOPへ