iOSとAndroidに対応したトロイの木馬(GoldPickaxe)を発見|顔認証データやSMSも傍受
シンガポールに本社のある情報セキュリティ会社Group-IB(グループIB)の脅威インテリジェンス部門がiOSに対応したトロイの木馬「GoldPickaxe.iOS」を発見したと発表しました。
さらに新たに特定された GoldDiggerPlus、GoldKefuなどのマルウェアおよび Android 向けの GoldPickaxe.Android などのトロイの木馬もあり、中国語を話すサイバー攻撃集団、「 GoldFactory 」の犯行であるとされています。
GoldFactory のトロイの木馬達は、タイやベトナムなどのアジア太平洋地域を標的としており、
地元の銀行や政府機関になりすましています。
引用:https://www.group-ib.com/blog/goldfactory-ios-trojan/
関連記事
目次
各マルウェアの概要
各マルウェアの概要は以下です。
・GoldDigger は、アクセシビリティ サービスを悪用し、サイバー犯罪者にデバイスの制御を許可する、古典的な Android向けの トロイの木馬です。
・GoldDiggerPlusも、GoldDigger の機能を拡張する Android マルウェアです。
GoldDiggerPlus内に埋め込まれたトロイの木馬であるGoldKefuには、Web 偽装機能が含まれており、被害者へリアルタイムで音声通話を行うことができます。
・GoldPickaxe は、iOS と Android の両方のプラットフォーム向けに設計されたトロイの木馬です。GoldPickaxe は、被害者から個人情報や生体認証データなどの情報を収集し、外部に持ち出すために使用されます。
iOSとAndroidに対応したトロイの木馬「GoldPickaxe」の概要
このGoldPickaxeはユーザーの顔認証データや生体データの収集、SMSの傍受する機能があります。
特に顔の認証データや生体データはディープフェイクの作成に利用可能で、銀行への本人認証を突破する事が可能になります。
GoldPickaxe.iOSの被害
GoldPickaxe.iOS は、タイ政府サービス アプリを装ったものでユーザーに顔の生体認証プロファイルを作成し、身分証明書の写真を撮るように要求します。
さらに、攻撃者は被害者に関する詳細を取得するために電話番号を要求し、特に被害者の銀行口座に関する情報を求めます。
タイ政府は特定の金額の振込には生体認証での本人確認を行う法律を、2023年3月に発表、2023年7月に施行しており、このタイミングに合わせたようで2023年10月初旬にGoldPickaxeの最も初期の痕跡が発見されています。
ベトナムでの被害
また直接的な証拠はないですが、GoldPickaxeはベトナムにも到達したと考えられており、
ニュースによると ベトナムのハノイ市在住のPさんは、自分が住む区の行政職員を名乗る人物から電話を受け、自宅で住民コードを統合する必要があると言われました。
この詐欺犯はPさんに偽の「Dịch vụ công(公共サービス)」アプリをダウンロードするように指示しました。Pさんは本物の職員だと信じてアプリをダウンロードし、指示に従って操作を実行しました。
その中にはカメラによる顔認証も含まれていました。
結果的に、このPさんは証券口座から30億ドン(1800万円)が引き出されている事に気づきました。
この手口からGroup-IBはGoldPickaxeではないか考えています。
なお、ベトナムでは2024年4月1日に全ての金融機関の送金では、顔認証が義務付けられる計画があり
今後も同様の被害が増加されると予想されます。
引用:https://www.group-ib.com/blog/goldfactory-ios-trojan/
GoldPickaxe.iOSの配布スキーム
攻撃者は、最初にマルウェアを配布するために Apple のモバイル アプリケーション テスト プラットフォームであるTestFlightを利用しましたがTestFlight から悪意のあるアプリが削除された後に
多段階のソーシャル エンジニアリングを利用して、被害者にモバイル デバイス管理 (MDM) プロファイルをインストールするよう説得しました。これにより、攻撃者は被害者のデバイスを完全に制御できるようになりました。
サイバー攻撃者が被害者の銀行口座に不正アクセスするために使用される可能性があり、Group-IB のリサーチャーがこれまで確認したことのない新しい詐欺手法も発生しています。
中国系サイバー攻撃集団「GoldFactory」概要
GoldFactory は、なりすまし、キーロギング、偽の銀行 Web サイトの作成、偽の銀行アラート、
偽の通話画面、ID、顔認識データ収集など、さまざまな戦術に熟達した集団です。
このチームは、特定の地域に特化した個別の開発グループとオペレーター グループで構成されています。
トロイの木馬の侵入を防ぐには?
トロイの木馬の侵入を防ぐには
・怪しいメール、SMSは開かない
・怪しいリンクはクリックしない
・サイトが公式サイトかURLをチェックする
が必要になります。