Çinli Bilgisayar Korsanları Gelişmiş Mobil Bankacılık Kötü Amaçlı Yazılım Saldırılarında Deepfakes Kullanıyor


Mobil Bankacılık Kötü Amaçlı Yazılım Saldırıları

Kod adı Çince konuşan bir tehdit aktörü Altın Fabrikası Kimlik belgelerini toplayabilen, yüz tanıma verilerini toplayabilen ve SMS’lere müdahale edebilen, GoldPickaxe adlı daha önce belgelenmemiş bir iOS kötü amaçlı yazılımı da dahil olmak üzere son derece karmaşık bankacılık truva atlarının geliştirilmesine atfedilmiştir.

Singapur merkezli Group-IB, The Hacker News ile paylaşılan kapsamlı bir raporda “GoldPickaxe ailesi hem iOS hem de Android platformlarında mevcut” dedi. “GoldFactory’nin, Gigabud ile yakın bağlantıları olan, iyi organize edilmiş, Çince konuşan bir siber suç grubu olduğuna inanılıyor.”

En azından 2023’ün ortasından bu yana aktif olan GoldFactory, GoldDigger adlı başka bir Android tabanlı bankacılık kötü amaçlı yazılımının ve onun gelişmiş versiyonu olan GoldDiggerPlus’ın yanı sıra GoldDiggerPlus’ın içine yerleştirilmiş bir truva atı olan GoldKefu’dan da sorumludur.

Kötü amaçlı yazılımı dağıtan sosyal mühendislik kampanyalarının, yerel bankalar ve devlet kuruluşları kılığına girerek Asya-Pasifik bölgesini, özellikle Tayland ve Vietnam’ı hedef aldığı ortaya çıktı.

Bu saldırılarda, potansiyel kurbanlara smishing ve phishing mesajları gönderiliyor ve GoldPickaxe’ın cihazlara yayılmasına yol açan sahte URL’ler göndermeden önce konuşmayı LINE gibi anlık mesajlaşma uygulamalarına geçirmeleri için yönlendiriliyor.

Android’i hedef alan bu kötü amaçlı uygulamalardan bazıları, kurulum işlemini tamamlamak için Google Play Store sayfalarına benzeyen sahte web sitelerinde veya sahte kurumsal web sitelerinde barındırılmaktadır.

Siber güvenlik

Ancak iOS için GoldPickaxe, Apple’ın TestFlight platformundan yararlanan ardışık yinelemeler ve kullanıcıları iOS aygıtları üzerinde tam kontrol sağlamak ve sahte uygulamayı yüklemek için bir Mobil Cihaz Yönetimi (MDM) profili indirmeye yönlendiren bubi tuzaklı URL’ler ile farklı bir dağıtım şeması kullanıyor. .

Bu yayılma mekanizmalarının her ikisi de sırasıyla Tayland Bankacılık Sektörü CERT (TB-CERT) ve Siber Suç Araştırma Bürosu (CCIB) tarafından Kasım 2023’te açıklandı.

Mobil Bankacılık Kötü Amaçlı Yazılım Saldırıları

GoldPickaxe’ın karmaşıklığı, Tayland tarafından uygulanan ve sahtekarlığı önlemek için kullanıcıların daha büyük işlemleri yüz tanıma özelliğini kullanarak onaylamasını gerektiren güvenlik önlemlerini aşmak için tasarlanmış olması gerçeğinde de açıkça görülüyor.

Güvenlik araştırmacıları Andrey Polovinkin ve Sharmine Low, “GoldPickaxe, kurbanı sahte uygulamada bir doğrulama yöntemi olarak video kaydetmeye yönlendiriyor” dedi. “Kaydedilen video daha sonra yüz değiştiren yapay zeka servislerinin kolaylaştırdığı deepfake videoların oluşturulması için hammadde olarak kullanılıyor.”

Ayrıca, kötü amaçlı yazılımın Android ve iOS sürümleri, kurbanın kimlik belgelerini ve fotoğraflarını toplayacak, gelen SMS mesajlarını engelleyecek ve ele geçirilen cihaz üzerinden proxy trafiğini engelleyecek donanıma sahiptir. GoldFactory oyuncularının banka uygulamasında oturum açmak ve yetkisiz fon transferleri gerçekleştirmek için kendi cihazlarını kullandıklarından şüpheleniliyor.

Mobil Bankacılık Kötü Amaçlı Yazılım Saldırıları

Bununla birlikte, iOS işletim sisteminin kapalı yapısı ve iOS izinlerinin nispeten daha katı yapısı nedeniyle iOS sürümü, Android sürümüyle karşılaştırıldığında daha az işlevsellik sergiliyor.

GoldDiggerPlus’ın evrimsel bir halefi olarak kabul edilen Android sürümü, aynı zamanda Tayland hükümetinin, finans sektörünün ve kamu hizmeti şirketlerinin bu hizmetlerden oturum açma bilgilerini çalmak için kullandığı 20’den fazla farklı uygulamayı da temsil ediyor. Ancak tehdit aktörlerinin bu bilgilerle ne yapacağı şu an için belli değil.

Kötü amaçlı yazılımın bir diğer dikkate değer yönü, tuş vuruşlarını günlüğe kaydetmek ve ekrandaki içeriği çıkarmak için Android’in erişilebilirlik hizmetlerini kötüye kullanmasıdır.

Mobil Bankacılık Kötü Amaçlı Yazılım Saldırıları

GoldDigger ayrıca GoldPickaxe ile kod düzeyinde benzerlikler paylaşıyor; ancak esas olarak bankacılık bilgilerini çalmak için tasarlanmışken GoldPickaxe daha çok kurbanlardan kişisel bilgi toplamaya yönelik. Bugüne kadar iOS aygıtlarını hedef alan herhangi bir GoldDigger eseri tanımlanmadı.

Araştırmacılar, “GoldDigger’ın temel özelliği, Vietnamlı finans şirketlerinden gelen ve paketlerinin truva atındaki adları da dahil olmak üzere 50’den fazla uygulamayı hedeflemesidir” dedi. “Hedeflenen uygulamalar her açıldığında, girildiğinde şifreler de dahil olmak üzere kullanıcı arayüzünde görüntülenen veya yazılan metni kaydedecektir.”

GoldDigger’ın ilk olarak Haziran 2023’te keşfedilen ve hala dolaşımda olan temel sürümü, o zamandan bu yana, kötü niyetli eylemleri açığa çıkarmak için GoldKefu adlı başka bir trojan APK bileşeniyle gömülü olarak gelen GoldDiggerPlus da dahil olmak üzere daha yükseltilmiş varyantların önünü açtı. .

GoldDiggerPlus’ın Eylül 2023’te, GoldKefu’nun 10 finans kurumuyla ilişkili bankacılık kimlik bilgilerini aktarmak için popüler bir Vietnam mesajlaşma uygulamasını taklit etmesiyle ortaya çıktığı söyleniyor.

Siber güvenlik

Goldkefu ayrıca etkileşimli sesli ve görüntülü aramaları kolaylaştırmak ve mağdurları sahte bir banka müşteri hizmetleriyle iletişime geçmeleri için kandırmak için Agora Yazılım Geliştirme Kiti (SDK) ile de entegre oluyor. Hesaplarında 3 milyon Tayland Bahtı yer aldı.

Mobil Bankacılık Kötü Amaçlı Yazılım Saldırıları

Aksine, bu gelişme, mobil kötü amaçlı yazılım ortamının, bankaların bu tür tehditlere karşı koymak için oluşturduğu savunma önlemlerini atlatmanın yollarını bulmalarına rağmen, hızlı finansal kazanç arayan siber suçlular için hala kazançlı bir pazar olmaya devam ettiğinin bir işareti. Bu aynı zamanda kurbanların cihazlarına kötü amaçlı yazılım dağıtmayı amaçlayan sosyal mühendislik planlarının sürekli değişen ve dinamik doğasını da ortaya koyuyor.

GoldFactory ve mobil bankacılık kötü amaçlı yazılım paketinin oluşturduğu riskleri azaltmak için, şüpheli bağlantılara tıklamamanız, güvenilmeyen sitelerden herhangi bir uygulamayı yüklememeniz, çünkü bu siteler kötü amaçlı yazılımlar için yaygın bir taşıyıcıdır ve uygulamalara verilen izinleri düzenli olarak gözden geçirmeniz önemle tavsiye edilir. özellikle Android’in erişilebilirlik hizmetlerini talep edenler.

Araştırmacılar, “GoldFactory, kimliğe bürünme, erişilebilirlik tuş günlüğü tutma, sahte bankacılık web siteleri, sahte banka uyarıları, sahte arama ekranları, kimlik ve yüz tanıma veri toplama dahil olmak üzere çeşitli taktiklerde usta, becerikli bir ekiptir” dedi. “Ekip, belirli bölgelere ayrılmış ayrı geliştirme ve operatör gruplarından oluşuyor.”

“Grubun iyi tanımlanmış süreçleri ve operasyonel olgunluğu var ve hedeflenen ortama uyum sağlamak için araç setini sürekli geliştirerek kötü amaçlı yazılım geliştirmede yüksek bir yeterlilik sergiliyor.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link