Hem iOS hem de Android Çeşitleri Yapay Zeka Deepfakes Oluşturmak İçin Kullanılan Yüz Videolarını Kaydedebilir
Mathew J. Schwartz (euroinfosec) •
15 Şubat 2024
Araştırmacılar, mali dolandırıcılık konusunda uzmanlaşmış, Çince konuşan bir siber suç grubunun, şu anda biyometrik verileri toplamak ve çalmak için kullandığı gelişmiş bankacılık Truva atlarının işlevselliğini ve erişimini genişletmeye devam ettiği konusunda uyarıyor.
Ayrıca bakınız: SASE ve NDR Birbirlerini Nasıl Tamamlıyor?
Siber güvenlik firması Group-IB, Perşembe günü yayınlanan bir raporda, kod adı GoldFactory olan çetenin, mobil cihazlardan biyometrik yüz profilleri de dahil olmak üzere kişisel bilgileri toplamak için tasarlanmış Android ve iOS varyantlarında gelen GoldPickaxe kod adlı yeni bir Truva atı geliştirdiğini söyledi.
Group-IB, “Çalınan biyometrik verilerden yararlanmak için tehdit aktörü, derin sahtekarlıklar oluşturmak amacıyla yapay zeka destekli yüz değiştirme hizmetlerinden yararlanıyor” dedi ve kendi yüzünü kurbanınkiyle değiştirdi. “Bu veriler, kimlik belgeleri ve SMS’lere müdahale etme yeteneğiyle birleştiğinde, siber suçluların kurbanın banka hesabına yetkisiz erişim sağlamasına olanak tanıyor.”
Araştırmacılar, GoldPickaxe bankacılık Truva Atı’nın, devlete ait “Dijital Emeklilik” uygulaması gibi yaklaşık iki düzine meşru uygulamadan biri olarak gizlenmiş gibi göründüğünü ve cihazda depolanan fotoğrafları çalabildiğinin yanı sıra, sözde bir katılım süreci sırasında kullanıcılardan bilgi talep edebildiğini gösteriyor. söz konusu. İstenen bilgiler, kurbanın adını ve telefon numarasını içerebilir; ardından uygulama, kurbandan resmi bir kimlik kartının her iki yüzünün fotoğrafını çekmesini isteyebilir, ardından uygulamanın yüz fotoğraflarını çekmesine izin verebilir ve bunların tümü saldırgana yüklenebilir. kontrollü bulut kovası.
Grup-IB, “Yüzlerinin videosunu kaydederken göz kırpma, gülümseme, sola bakma, sağa bakma, başını aşağı, yukarı kaldırma ve ağzı açma gibi birkaç talimat verilecek” dedi. “Bu yaklaşım genellikle kapsamlı bir yüz biyometrik profili oluşturmak için kullanılıyor. Bu videolar ve resimler bulut kümesine yükleniyor.”
Apple iOS, onaylanmamış uygulamaların yüklenmesini engellediğinden, saldırganlar, beta test uygulamaları için Apple’ın çevrimiçi TestFlight hizmeti aracılığıyla veya cihazlarının saldırgan tarafından kontrol edilen bir mobil cihaz yönetimine kaydedilmesine izin vererek, kurbanlara kötü amaçlı yazılımlarını yüklemeleri için sosyal mühendislik girişiminde bulunacaklardır. Uygulamaları cihazlara otomatik olarak dağıtmak için kullanılabilen program.
Şu ana kadar GoldPickaxe’nin yalnızca Tayland hedeflerine karşı kullanıldığı görülüyor. Group-IB kötü amaçlı yazılım analisti Andrey Polovinkin, “Değerlendirmemize göre, GoldPickaxe’in yakında Vietnam kıyılarına ulaşması yakın görünüyor; teknikleri ve işlevselliği diğer bölgeleri hedef alan kötü amaçlı yazılımlara aktif olarak dahil edilecek” dedi. “Gelişmiş bir iOS Truva Atı’nın keşfi, Asya-Pasifik bölgesini hedef alan siber tehditlerin gelişen doğasını ortaya koyuyor.”
Biyometrik güvenlik kontrollerini yanıltmak için kullanılabilecek bilgileri çalma hamlesi, Tayland Bankası’nın Mart 2023’te ülke bankalarına yeni mobil bankacılık güvenlik gereksinimlerine uyma talimatı vermesinin ardından geldi. Merkez bankası artık kısmen, birisi yeni bir banka hesabı açmaya çalıştığında veya müşteriler işlem başına 50.000 baht’tan (1.380 $) fazla değerde dijital para transferi yapmaya çalıştığında veya günlük transfer limitlerini değiştirdiğinde bankaların biyometrik kimlik doğrulamasını kullanmasını zorunlu kılıyor. 50.000 baht’ın üzerinde olmak.
GoldFactory’nin saldırılarının tarihi en az Haziran 2023’tür. Group-IB, 50’den fazla Vietnam finansal uygulamasını, e-cüzdanını ve kripto para uygulamasını hedef alan GoldDigger kod adlı bir Truva atı uygulamasının Android akıllı telefonlara bulaşmak için kullanıldığını ilk kez o zaman tespit ettiğini söyledi. Truva atı, meşru kaynaklardan geliyormuş gibi görünen kimlik avı e-postaları ve spam SMS mesajları yoluyla dağıtılıyordu.
O tarihten bu yana araştırmacılar, saldırganların hedeflemelerini Tayland’ı da kapsayacak şekilde genişlettiklerini, Android kötü amaçlı yazılımlarını geliştirmeye devam ettiklerini (GoldDiggerPlus ve GoldKefu adlı yeni türler ekleyerek) ve ayrıca hem Android hem de iOS’ta gelen Tayland’ı hedefleyen GoldPickaxe’yi geliştirdiklerini bildirdi. çeşitleri ve kendisi de GoldDigger’ın çok daha karmaşık bir versiyonu olabilir. Güvenlik firmasının kötü amaçlı yazılım türleri için “altın” kullanması, hepsinin aynı gruba dayandığına işaret ediyor.
Group-IB, GoldFactory’nin kodunun, 2022’den bu yana Tayland ve Vietnam’ın yanı sıra Endonezya, Filipinler ve Peru’da bulunan yaklaşık 100 finans kuruluşunun kullanıcılarını hedef alan Gigabud kod adlı farklı bir kötü amaçlı yazılım türüyle örtüştüğünü söyledi. Gigabud ve GoldFactory’nin doğrudan bağlantılı olup olmadığı belirsizliğini koruyor.
Group-IB’den Polovinkin, Asya-Pasifik bölgesindeki kurbanlara karşı kullanılan mobil bankacılık Truva atlarında bir artış olduğunu ve bu faaliyetlerin tamamı olmasa da büyük kısmının GoldFactory’den kaynaklandığını söyledi. “Grubun iyi tanımlanmış süreçleri ve operasyonel olgunluğu var ve hedeflenen ortama uyum sağlamak için araç setini sürekli geliştirerek kötü amaçlı yazılım geliştirmede yüksek bir yeterlilik sergiliyor” dedi.