Siber Muhbir

Singapur merkezli Group-IB, paylaşılan kapsamlı bir raporda, "GoldPickaxe ailesi hem iOS hem de Android platformları için kullanılabilir" dedi. "GoldFactory'nin Gigabud ile yakın bağlantıları olan iyi organize edilmiş Çince konuşan bir siber suç grubu olduğuna inanılıyor."

En az 2023'ün ortalarından beri aktif olan GoldFactory, GoldDigger adlı başka bir Android tabanlı bankacılık kötü amaçlı yazılımından ve onun geliştirilmiş varyantı GoldDiggerPlus'ın yanı sıra GoldDiggerPlus'ın içine gömülü bir truva atı olan GoldKefu'dan da sorumludur.

Kötü amaçlı yazılımı dağıtan sosyal mühendislik kampanyalarının, yerel bankalar ve devlet kurumları gibi davranarak Asya-Pasifik bölgesini, özellikle Tayland ve Vietnam'ı hedef aldığı tespit edildi.

Bu saldırılarda, potansiyel kurbanlara smishing ve kimlik avı mesajları gönderilir ve cihazlarda GoldPickaxe'in konuşlandırılmasına yol açan sahte URL'ler göndermeden önce konuşmayı LINE gibi anlık mesajlaşma uygulamalarına geçirmeleri için yönlendirilir.

Android'i hedefleyen bu kötü amaçlı uygulamalardan bazıları, yükleme işlemini tamamlamak için Google Play Store sayfalarına benzeyen sahte web sitelerinde veya sahte kurumsal web sitelerinde barındırılır.

Bununla birlikte, iOS için GoldPickaxe, Apple'ın TestFlight platformundan ve kullanıcılardan iOS cihazları üzerinde tam kontrol sağlamak ve hileli uygulamayı yüklemek için bir Mobil Cihaz Yönetimi (MDM) profili indirmelerini isteyen bubi tuzaklı URL'lerden yararlanan ardışık yinelemelerle farklı bir dağıtım şeması kullanır.

Bu yayılma mekanizmalarının her ikisi de sırasıyla Kasım 2023'te Tayland Bankacılık Sektörü CERT (TB-CERT) ve Siber Suç Soruşturma Bürosu (CCIB) tarafından açıklandı.

GoldPickaxe'ın karmaşıklığı, Tayland tarafından uygulanan ve kullanıcıların dolandırıcılığı önlemek için yüz tanıma kullanarak daha büyük işlemleri onaylamasını gerektiren güvenlik önlemlerini aşmak için tasarlanmış olması gerçeğinde de belirgindir.

Güvenlik araştırmacıları Andrey Polovinkin ve Sharmine Low, "GoldPickaxe, kurbandan sahte uygulamada bir doğrulama yöntemi olarak bir video kaydetmesini istiyor" dedi. "Kaydedilen video daha sonra yüz değiştiren yapay zeka servisleri tarafından kolaylaştırılan deepfake videoların oluşturulması için hammadde olarak kullanılıyor."

Ayrıca, kötü amaçlı yazılımın Android ve iOS çeşitleri, kurbanın kimlik belgelerini ve fotoğraflarını toplamak, gelen SMS mesajlarını engellemek ve güvenliği ihlal edilmiş cihaz aracılığıyla proxy trafiğini engellemek için donatılmıştır. GoldFactory aktörlerinin banka uygulamasında oturum açmak ve yetkisiz para transferleri gerçekleştirmek için kendi cihazlarını kullandıklarından şüpheleniliyor.

Bununla birlikte, iOS varyantı, iOS işletim sisteminin kapalı doğası ve iOS izinlerinin nispeten daha katı doğası nedeniyle Android muadili ile karşılaştırıldığında daha az işlevsellik sergiler.

GoldDiggerPlus'ın evrimsel halefi olarak kabul edilen Android sürümü, Tayland hükümetinden, finans sektöründen ve kamu hizmeti şirketlerinden bu hizmetlerden oturum açma kimlik bilgilerini çalmak için 20'den fazla farklı uygulama olarak ortaya çıkıyor. Ancak, tehdit aktörlerinin bu bilgilerle ne yaptığı şu anda net değil.

Kötü amaçlı yazılımın bir diğer dikkate değer yönü, tuş vuruşlarını günlüğe kaydetmek ve ekrandaki içeriği çıkarmak için Android'in erişilebilirlik hizmetlerini kötüye kullanmasıdır.

GoldDigger ayrıca GoldPickaxe ile kod düzeyinde benzerlikler paylaşıyor, ancak esas olarak bankacılık kimlik bilgilerini çalmak için tasarlanmış olsa da, ikincisi daha çok kurbanlardan kişisel bilgi toplamaya yönelik. Bugüne kadar iOS cihazlarına yönelik hiçbir GoldDigger eseri tespit edilmedi.

Araştırmacılar, "GoldDigger'ın birincil özelliği, paketlerinin truva atındaki adları da dahil olmak üzere Vietnamlı finans şirketlerinden 50'den fazla uygulamayı hedeflemesidir" dedi. "Hedeflenen uygulamalar her açıldığında, girildiklerinde şifreler de dahil olmak üzere kullanıcı arayüzünde görüntülenen veya yazılan metni kaydedecektir."

İlk olarak Haziran 2023'te keşfedilen ve hala dolaşımda olmaya devam eden GoldDigger'ın temel sürümü, o zamandan beri, kötü niyetli eylemleri serbest bırakmak için GoldKefu adlı başka bir truva atı APK bileşeni ile gömülü olarak gelen GoldDiggerPlus da dahil olmak üzere daha yükseltilmiş varyantların önünü açtı.

GoldDiggerPlus'ın Eylül 2023'te ortaya çıktığı ve GoldKefu'nun 10 finans kurumuyla ilişkili bankacılık kimlik bilgilerini sifonlamak için popüler bir Vietnam mesajlaşma uygulamasının kimliğine büründüğü söyleniyor.

GoldKefu ile birlikte kullanılan Android truva atı, esas olarak Android'in erişilebilirlik hizmetlerine dayanan GoldDigger'ın aksine, en son açılan uygulama hedef listeye aitse oturum açma bilgilerini toplamak için sahte kaplamalar kullanır.

Goldkefu ayrıca, etkileşimli sesli ve görüntülü aramaları kolaylaştırmak ve kurbanları, hesaplarında 3 milyon Tayland Bahtı tutarında bir fon transferinin gerçekleştiğini iddia ederek yanlış bir aciliyet duygusu uyandıran sahte uyarılar göndererek sahte bir banka müşteri hizmetleriyle iletişime geçmeleri için kandırmak için Agora Yazılım Geliştirme Kiti (SDK) ile entegre olur.

Bu gelişme, mobil kötü amaçlı yazılım ortamının, bankalar tarafından bu tür tehditlere karşı koymak için oluşturulan savunma önlemlerini atlatmanın yollarını bulsalar bile, hızlı finansal kazanç arayan siber suçlular için kazançlı bir pazar olmaya devam ettiğinin bir işaretidir. Ayrıca, kurbanların cihazlarına kötü amaçlı yazılım göndermeyi amaçlayan sosyal mühendislik planlarının sürekli değişen ve dinamik doğasını da göstermektedir.

GoldFactory ve mobil bankacılık kötü amaçlı yazılım paketinin oluşturduğu riskleri azaltmak için, şüpheli bağlantılara tıklamamanız, güvenilmeyen sitelerden herhangi bir uygulama yüklememeniz, çünkü bunlar kötü amaçlı yazılımlar için yaygın bir vektördür ve uygulamalara verilen izinleri periyodik olarak gözden geçirmeniz şiddetle tavsiye edilir.

Araştırmacılar, "GoldFactory, kimliğe bürünme, erişilebilirlik keylogging, sahte bankacılık web siteleri, sahte banka uyarıları, sahte arama ekranları, kimlik ve yüz tanıma veri toplama dahil olmak üzere çeşitli taktiklerde usta becerikli bir ekiptir" dedi. "Ekip, belirli bölgelere ayrılmış ayrı geliştirme ve operatör gruplarından oluşuyor."

"Çete, iyi tanımlanmış süreçlere ve operasyonel olgunluğa sahip ve kötü amaçlı yazılım geliştirmede yüksek bir yeterlilik sergileyerek hedeflenen ortama uyum sağlamak için araç setini sürekli olarak geliştiriyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.