Se ha descubierto recientemente que el grupo de cibercriminales chino conocido como GoldFactory es responsable del desarrollo de troyanos bancarios altamente sofisticados, incluyendo un malware para dispositivos iOS anteriormente no documentado llamado GoldPickaxe. Según un informe extenso de Group-IB, con sede en Singapur, la familia de malware GoldPickaxe está disponible tanto para plataformas iOS como Android. Además, se cree que GoldFactory actúa en estrecha conexión con Gigabud, otro grupo de delitos cibernéticos chino.
GoldFactory ha estado activo desde mediados de 2023 y es responsable de varios malwares bancarios basados en Android, como GoldDigger y GoldDiggerPlus, así como GoldKefu, un troyano incrustado en GoldDiggerPlus. Los ataques maliciosos se concentran en Tailandia y Vietnam, y las campañas de ingeniería social que los distribuyen se hacen pasar por bancos y organizaciones gubernamentales locales. Los atacantes luego envían mensajes de phishing y smishing a posibles víctimas, llevándolos a cambiar la conversación a aplicaciones de mensajería instantánea como LINE y enviar enlaces falsos que llevan a la implementación de GoldPickaxe en sus dispositivos. Algunas de las aplicaciones maliciosas que se enfocan en Android se hospedan en sitios web falsos que se asemejan a la página de Google Play Store o sitios web corporativos falsos para completar el proceso de instalación.
GoldPickaxe para iOS utiliza un esquema de distribución diferente, aprovechando sucesivas iteraciones de la plataforma TestFlight de Apple y enlaces booby-trapped que incitan a los usuarios a descargar un perfil de Mobile Device Management (MDM) para otorgar control total sobre dispositivos iOS e instalar la aplicación maliciosa. El malware tiene la capacidad de extraer documentos de identidad, datos de reconocimiento facial y mensajes de texto interceptados, lo que lo hacen un malware altamente sofisticado.
El malware GoldPickaxe está diseñado para recolectar documentos de identificación de la víctima y fotos, interceptar mensajes SMS entrantes y enviar tráfico a través del dispositivo comprometido, lo que permite a los actores de la amenaza acceder a las cuentas bancarias de las víctimas y realizar transferencias no autorizadas de fondos. Además, el malware se destaca por su capacidad para superar las medidas de seguridad impuestas en Tailandia, que exigen a los usuarios que confirmen transacciones más grandes mediante reconocimiento facial para prevenir fraudes.
Para minimizar los riesgos de GoldFactory y su conjunto de malware móvil bancario, se recomienda no hacer clic en enlaces sospechosos ni instalar aplicaciones de sitios no confiables, ya que son un vector común para el malware. También se sugiere revisar periódicamente los permisos dados a aplicaciones, especialmente aquellas que solicitan servicios de accesibilidad de Android.
La evolución constante de estas amenazas subraya la necesidad de que los proveedores de seguridad y las empresas se mantengan informados y actualizados sobre las tácticas utilizadas por los ciberdelincuentes. Al vigilar de cerca las amenazas emergentes, las empresas pueden tomar medidas proactivas para proteger sus sistemas y reducir la posibilidad de una brecha de seguridad costosa.
Vía The Hacker News
