2月17日消息,據外媒報導,蘋果始終致力於為其作業系統提供安全補丁,然而這些補丁卻常常成為黑客攻擊用戶的手段。近期,網絡安全公司Group-IB揭露了一種名為「GoldDigger」的新型木馬病毒,其目標是針對iOS用戶,企圖竊取他們的銀行帳戶信息。
據悉,GoldDigger木馬病毒最初是為安卓系統開發的,但現已成功被移植至iPhone和iPad平台。Group-IB公司警告稱,這可能是首個針對iOS的木馬,其危害程度可能極高,因為它具備收集用戶面部識別數據、身份證件以及簡訊的能力。
掌握這些信息後,黑客會運用先進的人工智慧工具進行深度偽造,進而非法侵入受害者的銀行帳戶。當受害者意識到帳戶遭到入侵時,往往為時已晚。
最初,GoldDigger通過蘋果的TestFlight平台傳播,該平台允許開發者發布應用程式的測試版,無需經過應用商店的審核程序。然而,在蘋果迅速將其從TestFlight中移除後,黑客不得不採用更為複雜的手段,即利用行動裝置管理(MDM)配置文件。這些配置文件通常用於企業管理其設備,但黑客卻將其用於誘騙用戶安裝惡意軟體,從而繞過應用商店下載應用程式。一旦得逞,他們便能收集到所需的敏感信息。
目前,GoldDigger的主要攻擊目標是越南和泰國的用戶。然而,該木馬同樣具備攻擊全球其他地區用戶的能力。Group-IB強調,這款木馬病毒正處於「活躍進化階段」,其威脅不容忽視。
Group-IB的關鍵發現
——Group-IB的威脅情報部門發現了一個以前不為人知的iOS木馬病毒GoldPickaxe.iOS,它會收集身份證件、簡訊和面部識別數據。
——GoldPickaxe木馬病毒在iOS和安卓平台都存在。
——GoldFactory開發的複雜木馬套件自2023年年中以來一直處於活躍狀態。
——GoldFactory可能是個組織嚴密的網絡犯罪集團,與新型銀行木馬Gigabud關係密切。
——社會工程是將惡意軟體傳遞到整個GoldFactory特洛伊木馬家族受害者設備上的主要方法。
——GoldPickaxe.iOS通過蘋果的TestFlight或通過社交工程讓受害者安裝MDM配置文件擴散。
——GoldPickaxe木馬收集面部資料、身份證件、攔截簡訊。為了利用從iOS和安卓用戶那裡竊取的生物識別數據,網絡犯罪分子使用人工智慧換臉服務進行深度偽造,將他們的臉替換成受害者的臉。這種方法可能被網絡犯罪分子用來訪問未經授權的受害者銀行帳戶。
——由GoldFactory開發的木馬病毒受害者多位於越南和泰國。
——在關於GoldDigger的初步報告發布後,Group-IB的研究人員發現了一種名為GoldDiggerPlus的惡意軟體新變體。
——GoldDiggerPlus擴展了GoldDigger的功能,並使威脅行為者能夠實時呼叫其受害者。
——它是通過特殊設計的APK實現的,被Group-IB稱為GoldKefu。當受害者點擊聯繫客服按鈕試圖警報時,GoldKefu會檢查當前時間是否在網絡犯罪分子設置的工作時間內。如果是這樣的話,該惡意軟體將試圖找到一個空閒的接線員進行呼叫。這就像是網絡罪犯在營運一個真正的客戶服務中心。
——Group-IB發現的所有特洛伊木馬都處於活躍的進化階段。
四大GoldDigger木馬病毒變種
早在2023年10月,Group-IB就發布了一份震撼的報告,揭示了一個之前鮮為人知的安卓木馬——GoldDigger,該木馬專門針對越南的50多家金融機構發動猛烈攻擊。GoldDigger之所以得名,是因為其APK文件中包含了一個名為GoldActivity的攻擊活動。自首次發現這個木馬以來,Group-IB的威脅情報部門持續對其進行嚴密監控,並發現了一個令人不安的現象:一個針對亞太地區的龐大攻擊性銀行木馬病毒集群。
在這個集群中,有一個尤為引人注目的新型移動木馬病毒,專門針對iOS用戶,被命名為GoldPickaxe.iOS。
據Group-IB研究人員發現,GoldPickaxe.iOS具備收集面部識別數據、竊取身份文件以及攔截簡訊的能力。與此同時,它的安卓版本也擁有相同功能,並且還展示了安卓木馬的其他典型特徵。
Group-IB將這一整個威脅集群歸咎於名為GoldFactory的威脅行為者。GoldFactory開發了一套高度複雜的移動銀行惡意軟體,主要針對亞太地區的用戶。儘管目前的證據顯示該病毒特別關注兩個亞太國家,但有跡象表明,GoldFactory的業務範圍可能會擴展到越南和泰國以外的地區。Group-IB已經向受到GoldFactory木馬攻擊的品牌發出了通知,提醒他們加強安全防範。
GoldPickaxe.iOS的兩條感染途徑
GoldPickaxe.iOS的擴散方式與眾不同。
CryptoRAM活動就是一個典型案例,犯罪分子利用蘋果的TestFlight平台分發假冒的加密貨幣應用。TestFlight原本是開發者在蘋果應用商店正式發布iOS應用前,用於分發和測試應用的工具。它提供了多種測試方法,並允許開發者邀請用戶測試他們的應用。
另一種策略則涉及通過行動裝置管理(MDM)操控蘋果設備。MDM是一種全面而集中的解決方案,用於管理和保護組織內的行動裝置,如智慧型手機和平板電腦。其主要目標是簡化設備管理任務、增強安全性、確保符合組織策略以及部署應用程式。在蘋果生態系統中,MDM允許通過向設備發送配置文件和命令來無線配置設備。
值得注意的是,TestFlight方法在GoldFactory的惡意活動中僅用於早期階段。然而,隨著網絡犯罪分子轉向使用MDM方法,戰略上發生了重大轉變。
這種轉變的原因可能在於,上傳至TestFlight的應用程式需要提交給蘋果的審查程序。在撰寫本文時,TestFlight無法訪問iOS木馬病毒,這可能是因為蘋果的審查已經發現了GoldPickaxe.iOS惡意軟體並採取了封鎖措施。因此,網絡犯罪分子調整了他們的分發策略,選擇了MDM方法來繞過與TestFlight相關的嚴格控制,繼續他們的非法活動。
Group-IB已經向蘋果公司通報了關於GoldFactory活動的信息。
