Троян GoldPickaxe крадет лица владельцев iPhone для доступа к банковским счетам

Киберпреступники начали атаковать владельцев iPhone при помощи вредоносного ПО, которое крадет 3D-сканы лиц для несанкционированного доступа к банковским счетам.

Об этом стало известно из исследования компании Group-IB, которая занимается кибербезопасностью. Эксперты выяснили, что китайская хакерская группа под названием GoldFactory с июня 2023 года распространяет зараженные приложения для смартфонов. Последняя модификация их вредоносной программы, GoldPickaxe, появилась в октябре.

GoldPickaxe нацелен на устройства с Android, а GoldPickaxe.iOS - на iPhone. Мошенники обманом заставляют жертв пройти процедуру биометрической идентификации. Полученные таким путем 3D-сканы используются затем для обхода защиты в официальных приложениях банков Вьетнама и Таиланда.

Версия трояна для iOS пока атакует только Таиланд, маскируясь под приложение для получения цифровых пенсий от правительства. Однако есть подозрения, что вредоносное ПО проникло и во Вьетнам, пишут в Securitylab. Недавно оттуда поступали сообщения о похожих инцидентах с кражей десятков тысяч долларов.

По словам экспертов Group-IB, GoldPickaxe.iOS стал первым обнаруженным трояном для iPhone, который одновременно собирает биометрические данные, документы пользователей, перехватывает СМС и использует зараженные устройства как прокси-серверы. Версия для Android обладает еще более обширным функционалом благодаря тому, что у платформы меньше ограничений.

Хотя вредоносное ПО для Android распространено шире из-за возможности установки приложений из неофициальных источников, троян для закрытой экосистемы iOS стал особенно неприятным сюрпризом для специалистов по кибербезопасности.

В случае с Android злоумышленники просто распространяли замаскированный GoldPickaxe через поддельный магазин Google Play. А вот чтобы загрузить GoldPickaxe.iOS на iPhone, потребовались более изощренные методы социальной инженерии.

Сначала хакеры злоупотребляли бета-платформой TestFlight от Apple. Когда эта лазейка была закрыта, мошенники придумали другую схему. Они убеждали жертв установить приложение MDM для удаленного управления, используя различные уловки. Это позволяло незаметно доставлять вредонос на зараженные устройства. Первый контакт с жертвами обычно осуществлялся через популярный в Азии мессенджер LINE.

Получив доступ к 3D-сканам лиц, хакеры использовали технологии генеративного ИИ для создания реалистичных цифровых моделей. Эти модели и позволяли им обходить биометрическую защиту в официальных банковских приложениях и получать доступ к счетам пользователей. Кроме того, мошенники применяли похищенные персональные данные и перехваченные СМС для дистанционного контроля над финансами жертв.