Group-IB, kullanıcıların yüz tanıma verilerini, kimlik belgelerini çalmak ve SMS’lere müdahale etmek için tasarlanmış yeni bir iOS truva atını ortaya çıkardı.
Group-IB’nin Tehdit İstihbaratı birimi tarafından GoldPickaxe.iOS olarak adlandırılan truva atı, daha önce keşfedilen GoldDigger ve yeni tanımlanan GoldDiggerPlus’ı da içeren son derece karmaşık bankacılık truva atlarından oluşan bir paket geliştirmekten sorumlu olan GoldFactory kod adlı Çince konuşan bir tehdit aktörüne atfedilmiştir. Android için GoldKefu ve GoldPickaxe. Tehdit aktörü, çalınan biyometrik verilerden yararlanmak için yapay zeka yüz değiştirme hizmetlerinden yararlanarak yüzlerini kurbanların yüzleriyle değiştirerek deepfake’ler oluşturuyor.
Siber suçlular, daha önce Group-IB araştırmacıları tarafından görülmemiş yeni bir dolandırıcılık tekniği olan bu yöntemi kurbanın banka hesabına yetkisiz erişim sağlamak için kullanabilir. GoldFactory truva atları, yerel bankaları ve devlet kuruluşlarını taklit ederek Asya-Pasifik bölgesini, özellikle Tayland ve Vietnam’ı hedef alıyor.
Group-IB’nin keşfi aynı zamanda Apple’ın mobil işletim sistemini hedef alan nadir bir kötü amaçlı yazılım örneğine de işaret ediyor.
GoldPickaxe.iOS truva atı Asya-Pasifik bölgesindeki kurbanları hedef alıyor
Group-IB’nin Ekim 2023’te yayınlanan GoldDigger hakkındaki raporu, GoldDigger’ın genişlemesinin Vietnam’ın ötesine geçeceğini öne sürdü. Bir aydan kısa bir süre içinde Group-IB’nin Tehdit İstihbaratı birimi, Tayland’daki kurbanları hedef alan ve daha sonra GoldPickaxe.iOS olarak adlandırılan yeni bir iOS kötü amaçlı yazılım çeşidini tespit etti. Grup-IB ekibi, iOS truva atının yanı sıra GoldPickaxe’nin GoldPickaxe.Android adlı bir Android sürümünü de belirledi.
Şubat 2024’te bir Vietnam vatandaşının kötü amaçlı yazılımların kurbanı olduğu haberi ortaya çıktı. Kişi, yüz tanıma taraması da dahil olmak üzere uygulamanın talep ettiği işlemleri gerçekleştirdi. Sonuç olarak siber suçlular 40.000 ABD Dolarından fazla parayı çekti. Group-IB’nin GoldPickaxe’ın Vietnam’daki dağıtımına dair doğrudan bir kanıtı olmasa da, haberlerde bahsedilen benzersiz özellik, GoldPickaxe’ın büyük olasılıkla Vietnam’a ulaştığını gösteriyor.
Grup-IB genel olarak dört truva atı ailesi belirledi ve yeni keşfedilen kötü amaçlı yazılım için GoldFactory tarafından geliştirildiklerinin sembolik bir temsili olarak Gold önekini kullanarak adlandırma kuralını sürdürdü.
GoldPickaxe.iOS, Tayland hükümeti hizmet uygulamaları olarak gizlendi
Tayland hükümeti hizmet uygulamaları olarak gizlenen GoldPickaxe.iOS (Tayland Bankacılık Sektörü CERT tarafından rapor edilen Dijital Emeklilik uygulaması dahil), kullanıcıdan kapsamlı bir yüz biyometrik profili oluşturmasını ve kimlik kartının fotoğrafını çekmesini talep ediyor. Ayrıca tehdit aktörü, kurbanlar hakkında daha fazla ayrıntı almak ve özellikle kurbanla ilişkili banka hesapları hakkında bilgi almak için telefon numarasını talep ediyor.
GoldPickaxe.iOS’un benimsediği dağıtım stratejisi dikkat çekiyor. Başlangıçta Apple’ın mobil uygulama test platformu TestFlight’tan yararlanan tehdit aktörü, kötü amaçlı uygulamalarının platformdan kaldırılmasının ardından daha gelişmiş bir yaklaşıma geçti. Group-IB araştırmacıları, tehdit aktörünün herhangi bir güvenlik açığından yararlanmadığını belirtiyor. Bunun yerine GoldFactory, kurbanları gerekli tüm izinleri vermeleri ve kötü amaçlı yazılım yüklemelerini sağlamaları için manipüle etmek için çok aşamalı bir sosyal mühendislik planı kullanıyor.
Bu plan aracılığıyla kurbanlar, tehdit aktörüne cihazları üzerinde tam kontrol sağlayan bir Mobil Cihaz Yönetimi (MDM) profili yüklemeye ikna edildi. MDM, siber suçluların kötü amaçlı uygulamalar yüklemek ve ihtiyaç duydukları bilgileri elde etmek için yararlandığı uzaktan silme, cihaz takibi ve uygulama yönetimi gibi çok çeşitli özellikler sunuyor.
GoldPickaxe.iOS’un, Group-IB tarafından gözlemlenen ve aşağıdaki işlevleri birleştiren ilk iOS truva atı olduğu dikkate alınmalıdır: kurbanların biyometrik verilerini, kimlik belgelerini toplamak, SMS’lere müdahale etmek ve kurbanların cihazları üzerinden trafiğe proxy göndermek. Android kardeşi, daha fazla kısıtlama ve iOS’un kapalı yapısı nedeniyle iOS muadilinden daha fazla işlevselliğe sahiptir.
GoldPickaxe doğrudan kurbanın telefonundaki parayı çalmaz. Bunun yerine, derin sahte video oluşturmak ve kurbanın bankacılık uygulamasına bağımsız olarak erişmek için kurbandan gerekli tüm bilgileri topluyor. Yüz tanıma, Tayland finans kuruluşları tarafından işlem doğrulama ve oturum açma kimlik doğrulaması için aktif olarak kullanılıyor.
Araştırma sırasında Group-IB, truva atının kesin olarak kurbanların yüzlerini taramasını ve kimlik fotoğraflarını göndermesini sağlama yeteneğine sahip olduğunu tespit etti. Bununla birlikte Grup-IB araştırmacıları, siber suçluların bu çalıntı verileri kullanarak kurbanların banka hesaplarına yetkisiz erişim sağladığına dair belgelenmiş vakalara rastlamadı. Group-IB’nin hipotezi, siber suçluların kurbanların banka hesaplarına giriş yapmak için kendi (iddiaya göre Android) cihazlarını kullandıklarını öne sürüyor.
Tayland polisi, siber suçluların kendi Android cihazlarına bankacılık uygulamaları yüklediklerini ve yüz tanıma kontrollerini atlamak ve kurban hesaplarına yetkisiz erişim sağlamak için yakalanan yüz taramalarını kullandıklarını belirterek Grup-IB’nin varsayımını doğruladı.
GoldDigger ailesi büyüyor
Haziran 2023’te GoldDigger truva atının ilk keşfinin ardından Group-IB’nin Tehdit İstihbaratı birimi, bu Android kötü amaçlı yazılımının yeni ve gelişmiş bir varyantını belirledi: GoldDiggerPlus. Bilinen ilk örneğinin Eylül 2023’te tespit edildiği, Group-IB’nin GoldKefu adını verdiği ve Çince’de “kefu” olarak adlandırılan, müşteri hizmetleri anlamına gelen ikinci bir truva atı içerdiği ve bu dizenin kodlarında tekrar tekrar yer aldığı biliniyor. GoldDiggerPlus ve Kefu, tüm yeteneklerini gerçekleştirmek için birlikte çalışır.
Erişilebilirlik Hizmetine dayanan GoldDigger’ın aksine GoldDiggerPlus ve GoldKefu, bankacılık kimlik bilgilerini toplamak için 10 Vietnam bankasını taklit eden web sahtekarlıkları kullanıyor. GoldKefu, virüslü cihazda en son açılan uygulamanın hedeflenen bankacılık uygulamaları listesine ait olup olmadığını kontrol ediyor ve bir eşleşme bulunursa bunun yerine meşru bir uygulamayı taklit eden sahte bir giriş sayfası başlatılıyor. Özellikle GoldKefu, siber suçluların kurbanlara sahte uyarılar göndermesine ve onları gerçek zamanlı olarak aramasına da olanak tanıyor.
Kurban, müşteri hizmetleriyle iletişime geç düğmesinin sahte uyarısına tıkladığında GoldKefu, mevcut saatin siber suçluların çalışma saatleri dahilinde olup olmadığını kontrol eder. Böyle bir durumda kötü amaçlı yazılım, aranacak ücretsiz bir operatör bulmaya çalışacaktır. Bu nedenle GoldFactory’nin Tayca ve Vietnamca bilen operatörleri işe alabileceğine ve hatta bir çağrı merkezi işletebileceğine inanılıyor.
Group-IB, tüm tehdit kümesini GoldFactory adlı, son derece gelişmiş, Çince konuşan tek bir tehdit aktörüne bağlıyor. Tüm kötü amaçlı yazılım çeşitlerinde Çince hata ayıklama dizeleri bulundu ve C2 panelleri de Çince idi.
GoldFactory, kimliğe bürünme, erişilebilirlik tuş günlüğü tutma, sahte bankacılık web siteleri, sahte banka uyarıları, sahte arama ekranları, kimlik ve yüz tanıma veri toplama gibi çeşitli taktiklerde usta, becerikli bir ekiptir. Ekip, belirli bölgelere ayrılmış ayrı geliştirme ve operatör gruplarından oluşur.
Tayland’ın Mart 2023’te yayınlanan ve Temmuz ayında yürürlüğe giren yüz biyometrik doğrulama politikasının duyurusu, Ekim ayı başlarında GoldPickaxe’nin en eski izlerinin keşfedilmesiyle aynı zamana denk geldi. Grubun yeni yüz tanıma veri toplama özelliklerini araştırması, geliştirmesi ve test etmesi için toplam üç ay yeterliydi.
Buna ek olarak, GoldFactory’nin truva atlarının analizi sırasında Group-IB araştırmacıları, çetenin kötü amaçlı yazılımı ile Tayland, Vietnam ve Latin Amerika’daki bazı ülkeleri hedef alan yıkıcı bir bankacılık truva atı olan Gigabud arasında benzerlikler buldu. Ancak bu noktada Gigabud’un ilk gelişimini GoldFactory’ye atfetmek için yeterli kanıt yok ve Group-IB araştırmacılarına göre GoldFactory büyük olasılıkla dağıtımda yer alıyor.
“Asya-Pasifik bölgesini hedef alan mobil truva atlarındaki artış GoldFactory’ye bağlanabilir. Ekip, iyi tanımlanmış süreçlere ve operasyonel olgunluğa sahip ve kötü amaçlı yazılım geliştirmede yüksek bir yeterlilik sergileyerek hedeflenen ortama uyum sağlamak için araç setini sürekli olarak geliştiriyor. Gelişmiş bir iOS truva atının keşfi, Asya-Pasifik bölgesini hedef alan siber tehditlerin gelişen doğasını ortaya koyuyor. Değerlendirmemize göre, GoldPickaxe’in yakında Vietnam kıyılarına ulaşması yakın görünüyor; teknikleri ve işlevselliği diğer bölgeleri hedef alan kötü amaçlı yazılımlara aktif olarak dahil edilecek,” dedi Group-IB Tehdit İstihbaratı ekibi Kötü Amaçlı Yazılım Analisti Andrey Polovinkin.