GoldPickaxe napredna prevara
Sumnja se da zlonamjerni akter kineskog porijekla pod nazivom GoldFactory stoji iza razvoja veoma naprednog bankarskog trojanca, uključujući prethodno nedokumentovan zlonamjerni softver za iOS operativne sistem pod nazivom GoldPickaxe koji je sposoban da prikupi identifikaciona dokumenta, podatke o prepoznavanju lica i presretne SMS poruke.
GOLDPICKAXE
Porodica zlonamjernog softvera GoldPickaxe obuhvata verzije za iOS i Android operativne sisteme i zasnovana je GoldDigger Android trojancu i sadrži redovna ažuriranja za poboljšavanja mogućnosti i izbjegavanje otkrivanja. GoldPickaxe verzija za iOS je sposobna da prikuplja podatke o prepoznavanju lica, identifikaciona dokumenta i presreće SMS poruke, dok verzija za Android ima istu funkcionalnost, ali takođe pokazuje druge funkcije tipične za Android trojance.
Da bi iskoristio ukradene biometrijske podatke, zlonamjerni akter koristi usluge zamjene lica vođene vještačkom inteligencijom za kreiranje dubokih lažiranja (eng. deepfakes). Ovi podaci u kombinaciji sa ličnim dokumentima i mogućnošću presretanja SMS poruka, omogućavaju zlonamjernim akterima da dobiju neovlašteni pristup bankovnom računu žrtve – novu tehniku novčane krađe, koju sigurnosni istraživači ranije nisu vidjeli u drugim šemama prevare.
“GoldPickaxe podstiče žrtvu da snimi video kao metod potvrde u lažnoj aplikaciji. Snimljeni video se zatim koristi kao sirovina za kreiranje duboko lažnih video snimaka uz pomoć usluga vještačke inteligencije koje zamjenjuju lica.”
– Andrey Polovinkin i Sharmine Low, Group-IB –
DISTRIBUCIJA
Zlonamjerni softver se distribuira putem kampanja društvenog inženjeringa koje ciljaju na azijsko-pacifički region, posebno na Tajland i Vijetnam. Napadači koriste smishing i phishing poruke, upućujući žrtve da se prebace na aplikacije za razmjenu trenutnih poruka kao što je LINE, praćeno slanjem obmanjujućih URL adresa koji vode do instalacije GoldPickaxe zlonamjernog softvera. Za Android, neke zlonamjerne aplikacije se nalaze na lažnim internet lokacijama koje liče na stranice Google Play prodavnice ili lažne korporativne stranice.
GoldPickaxe zlonamjerni softver za iOS ima drugačiju strategiju distribucije u odnosu na Android verziju. Zlonamjerni softver u ovom slučaju koristi Apple platformu TestFlight i URL adrese sa zamkama koje podstiču korisnike da preuzmu profil za upravljanje mobilnim uređajima (eng. Mobile Device Management – MDM), čime napadači dobijaju potpunu kontrolu nad iOS uređajem za instalaciju lažne aplikacije.
MOGUĆNOSTI
Kada se zlonamjerna aplikacija instalira na uređaj on radi poluautonomno, manipulišući funkcijama u pozadini, snimajući lice žrtve, presrećući dolazne SMS poruke, tražeći lične dokumente i preusmjeravajući mrežni saobraćaj kroz zaraženi uređaj koristeći “MicroSocks”. Na iOS uređajima, zlonamjerni softver uspostavlja kanal komunikacije može obavljati sljedeće radnje:
- Ping komanda ka komandnom i kontrolnom serveru (C2),
- Slanje informacija o uređaju na C2,
- Zatražiti od žrtve da snimi svoju ličnu kartu,
- Zatražiti od žrtve da snimi svoje lice,
- Prikazati lažnu poruku “device in use” – uređaj u upotrebi da bi spriječio prekide,
- Sinhronizovanje biblioteke fotografija (preuzimanje podataka u oblaku),
- Pokušati ponovo eksfiltraciju videa lica žrtve,
- Zaustaviti trojanca.
Android verzija zlonamjernog softvera obavlja više više zlonamjernih aktivnosti nego iOS zlonamjerna verzija zbog Apple sigurnosnih ograničenja. Pored toga, Android zlonamjerni softver koristi preko 20 različitih lažnih aplikacija. Android verzija zlonamjernog softvera pored navedenih radnji u iOS verziji može još da izvrši slijedeće radnje:
- Pristup SMS porukama,
- Kretanje kroz sistem datoteka,
- Klikovi na ekrani,
- Slanje 100 najnovijih fotografija iz albuma žrtve,
- Preuzimanje i instaliranje dodatnih paketa,
- Prikazivanje lažnih obavještenja.
Sigurnosni istraživači sumnjaju da se ukradeni podaci mogu povezati sa bankarskim prevarama posebno pošto su mnoge finansijske institucije primijenile biometrijske provjere za transakcije. Ipak, veoma je važno napomenuti da GoldPickaxe ne preuzima biometrijske podatke niti iskorištava ranjivosti u iOS ili Android operativnim sistemima. Biometrijski podaci uskladišteni u sigurnim područjima na uređaju ostaju šifrovani i izolovani od pokrenutih aplikacija.
ZAKLJUČAK
Zlonamjerni softver za mobilne uređaje je postao unosno tržište, privlačenje pažnju zlonamjernih aktera koji traže brzu finansijsku dobit. Kao odgovor na ovu rastuću prijetnju, finansijske institucije su sprovele niz odbrambenih mjera. Međutim, u isto vreme, taktike zlonamjernih aktera su evoluirale kako bi nadmudrile i poblijedile ove odbrambene strategije.
Zlonamjerni akteri kao što je GoldFactory imaju dobro definisane procese, operativnu zrelost i pokazuju povećan nivo genijalnosti. Njihova sposobnost da istovremeno razvijaju i distribuiraju varijante zlonamjernog softvera prilagođene različitim regionima pokazuje zabrinjavajući nivo sofisticiranosti.
ZAŠTITA
Korisnici mogu dodatno zaštititi svoje uređaje i umanjiti rizike povezane sa ovim vrstama zlonamjernog softvera prateći sljedeće preporuke:
- Pouzdana sigurnosna aplikacija za Android i iOS operativni sistem štiti uređaj korisnika od zlonamjernih aplikacija. Sigurnosne aplikacije pružaju dodatni sloj zaštite skeniranjem i identifikacijom potencijalno štetnih aplikacija, otkrivanjem zlonamjernog softvera i upozoravanjem korisnika na sumnjive aktivnosti,
- Edukacija korisnika o smishing i phishing prijetnjama, naglašavajući rizike povezane sa otvaranjem priloga ili klikom na linkove u neželjenim porukama, kao i obuka za prepoznavanje taktika društvenog inženjeringa koje koriste zlonamjerni akteri, omogućava korisnicima da izbjegnu da postanu žrtve obmanjujućih trikova koji vode ka izvršavanju zlonamjernih datoteka,
- Biti oprezan prilikom pretraživanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadrže zlonamjerni softver koji može zaraziti uređaj prilikom otvaranja takvih stranica,
- Korisnici Android i iOS operativnog sistema treba da izbjegavaju instalaciju aplikacija iz nezvaničnih izvora i prodavnica aplikacija trećih strana i da se drže pouzdanih platformi kao što je Google Play prodavnica, odnosno Apple prodavnica koje primjenjuje procese pregleda aplikacija i bezbjednosne mjere. Iako ovo ne garantuje potpunu zaštitu, smanjuje rizik od preuzimanja zlonamjernih aplikacija,
- Korisnici trebaju prilikom preuzimanja aplikacije iz Apple prodavnice i Google Play prodavnice trebaju obratiti pažnju na na recenzije korisnika (možda nisu dostupne u nezvaničnim prodavnicama). Ključno je biti svjestan da pozitivne kritike mogu biti lažne kako bi se povećao kredibilitet zlonamjernih aplikacija. Korisnici bi trebalo da se usredsrede na negativne kritike i pažljivo procjene zabrinutosti korisnika, jer mogu otkriti važne informacije o zlonamjernoj aplikaciji,
- Prije instalacije aplikacije, korisnici trebaju da dobro pogledaju politiku privatnosti koju će aplikacija primjenjivati. Takođe, tokom instalacije aplikacije veoma je važno obratiti pažnju na podatke i dozvole kojima aplikacija traži pristup i postaviti sebi pitanja da li su ti podaci i dozvole neophodni za funkcionisanje aplikacije,
- Potrebno je biti oprezna sa dolaznim SMS porukama i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja,
- Upotrebljavati uvijek VPN servis kada se koriste javne Wi-Fi mreže, kao bi se zaštitili od zloupotreba koje vrebaju na javnim mrežama,
- Redovno izrađivati rezervne kopije podataka kako bi se smanjio uticaj zlonamjernog softvera u slučaju infekcije.
Infekcija uređaja
U slučaju da je došlo do infekcije uređaja potrebno je:
- Onemogućiti mrežni pristup uređaju,
- Blokirati bankovne račune kojima je pristupno sa uređaja,
- Potražiti stručnu pomoć za više informacija o rizicima koje zlonamjerni softver može da predstavlja.