Un nouveau cheval de Troie iOS et Android nommé « GoldPickaxe » utilise un système d’ingénierie sociale pour inciter les victimes à scanner leurs visages et leurs documents d’identité, qui seraient utilisés pour générer des deepfakes pour un accès bancaire non autorisé.

Le nouveau malware, repéré par Group-IB, fait partie d’une suite de logiciels malveillants développée par le groupe de menaces chinois connu sous le nom de « GoldFactory », qui est responsable d’autres souches de logiciels malveillants telles que « GoldDigger », « GoldDiggerPlus » et  » GoldKefu.’

Group-IB indique que ses analystes ont observé des attaques ciblant principalement la région Asie-Pacifique, principalement la Thaïlande et le Vietnam. Cependant, les techniques employées pourraient être efficaces à l’échelle mondiale, et il y a un risque qu’elles soient adoptées par d’autres souches de logiciels malveillants.

Commence par des attaques d’ingénierie sociale
La distribution de Pioche en or a débuté en octobre 2023 et est toujours en cours. Il est considéré comme faisant partie d’une campagne d’usine d’or qui a débuté en juin 2023 avec Gold Digger.

Chronologie de la campagne

Les victimes sont approchées par le biais de messages de phishing ou de smishing sur l’application LINE qui sont écrits dans leur langue locale, usurpant l’identité des autorités ou des services gouvernementaux.

Les messages tentent de les inciter à installer des applications frauduleuses, telles qu’une fausse application de « Pension numérique » hébergée sur des sites Web se faisant passer pour Google Play.

Application malveillante hébergée sur un faux site Web Google Play

Pour les utilisateurs d’iOS (iPhone), les auteurs de la menace ont initialement dirigé les cibles vers une URL de vol d’essai pour installer l’application malveillante, leur permettant de contourner le processus normal d’examen de la sécurité.

Lorsqu’Apple a supprimé l’application TestFlight, les attaquants ont commencé à inciter les cibles à télécharger un profil de gestion des appareils mobiles (MDM) malveillant qui permet aux auteurs de la menace de prendre le contrôle des appareils.

Chaîne d’infection iOS

Capacités de Pioche en or
Une fois que le cheval de Troie a été installé sur un appareil mobile sous la forme d’une fausse application gouvernementale, il fonctionne de manière semi-autonome, manipulant des fonctions en arrière-plan, capturant le visage de la victime, interceptant les SMS entrants, demandant des documents d’identité et mandatant le trafic réseau via l’appareil infecté à l’aide de  » MicroSocks.’

Sur les appareils iOS, le logiciel malveillant établit un canal websocket pour recevoir les commandes suivantes:

  • Heartbeat: serveur de commande et de contrôle ping (C2)
  • init: envoyer des informations sur le périphérique au C2
  • upload_id card: demander à la victime de prendre une photo de sa carte d’identité
  • visage: demandez à la victime de prendre une vidéo de son visage
  • mise à niveau: afficher un faux message « appareil en cours d’utilisation » pour éviter les interruptions
  • album: synchroniser la date de la photothèque (exfiltrer vers un compartiment cloud)
  • again_upload: réessayez d’exfiltrer la vidéo du visage de la victime dans le seau
  • détruire: arrêtez le cheval de Troie

Les résultats de l’exécution des commandes ci-dessus sont communiqués au C2 via des requêtes HTTP.

Stratégie possible de fraude bancaire

Le Groupe IB affirme que la version Android du cheval de Troie effectue plus d’activités malveillantes que dans iOS en raison des restrictions de sécurité plus élevées d’Apple. De plus, sur Android, le cheval de Troie utilise plus de 20 fausses applications différentes comme couverture.

Par exemple, GoldPickaxe peut également exécuter des commandes sur Android pour accéder aux SMS, naviguer dans le système de fichiers, effectuer des clics sur l’écran, télécharger les 100 photos les plus récentes de l’album de la victime, télécharger et installer des packages supplémentaires et envoyer de fausses notifications.

Interface de capture de visage

L’utilisation des visages des victimes pour fraude bancaire est une hypothèse du Groupe IB, également corroborée par la police thaïlandaise, basée sur le fait que de nombreux instituts financiers ont ajouté des contrôles biométriques l’année dernière pour les transactions supérieures à un certain montant.

Il est essentiel de préciser que, bien que GoldPickaxe puisse voler des images de téléphones iOS et Android montrant le visage de la victime et inciter les utilisateurs à divulguer leur visage en vidéo grâce à l’ingénierie sociale, le logiciel malveillant ne détourne pas les données d’identification du visage ni n’exploite aucune vulnérabilité sur les deux systèmes d’exploitation mobiles.

Les données biométriques stockées dans les enclaves sécurisées des appareils sont toujours cryptées de manière appropriée et complètement isolées des applications en cours d’exécution.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *