Ein Cybersicherheitsunternehmen hat etwas Neues entdeckt iPhone und Android Schadsoftware Dadurch werden Opfer dazu verleitet, ihre Gesichter und Ausweisdokumente zu scannen, was vermutlich zur Generierung von Deepfakes für unbefugten Bankzugang verwendet wird. Es wurde berichtet, dass es größeren Schaden anrichtete Android Benutzer als diejenigen mit iPhones. Google hat nun auf den Bericht reagiert.
Wie diese Malware funktioniert, um Opfer auszutricksen
Der Trojaner „GoldPickaxe“, der Social-Engineering-Maßnahmen einsetzt, um Benutzer zu täuschen, wurde von der in Singapur ansässigen Group-IB entdeckt und soll Teil einer Malware-Suite sein, die von der chinesischen Bedrohungsgruppe „GoldFactory“ entwickelt wurde.Diese Gruppe ist für andere Malware-Stämme wie „GoldDigger“, „GoldDiggerPlus“ und „GoldKefu“ verantwortlich.
Laut Group-IB wurden Angriffe beobachtet, die vor allem auf den asiatisch-pazifischen Raum abzielten, vor allem auf Thailand und Vietnam.
Der Angriff beginnt mit Social-Engineering-Tricks. Laut einem Bericht von Bleeping Computer begann der Vertrieb von Gold Pickaxe im Oktober 2023 und dauert noch an. Opfer werden über Phishing-Nachrichten in der LINE-App angesprochen. Diese Nachrichten sind in der Landessprache verfasst und geben sich als Regierungsbehörden oder -dienste aus. Sie drängen die Opfer dazu, betrügerische Apps zu installieren, beispielsweise eine gefälschte „Digital Pension“-App, die auf Websites gehostet wird, die sich als Google Play ausgeben.
Auf iPhones leiteten die Bedrohungsakteure ihre Ziele zunächst an eine TestFlight-URL, um die schädliche App zu installieren, wodurch sie den normalen Sicherheitsüberprüfungsprozess umgehen konnten. Laut Group-IB ist die Android-Version des Trojaners aufgrund der höheren Sicherheitsbeschränkungen von Apple bösartiger als in iOS und auf Android nutzt der Trojaner über 20 gefälschte Apps als Tarnung.
Sobald die App auf einem Gerät installiert ist, arbeitet sie halbautonom, manipuliert Funktionen im Hintergrund, erfasst das Gesicht des Opfers, fängt eingehende SMS ab und fordert Ausweisdokumente an. Nach dem Sammeln der Daten nutzten die Hacker diese für Bankbetrug, vermutete Group-IB.
Was Google zu sagen hat
Ein Google-Sprecher sagte gegenüber Bleeping Computer, dass Android-Benutzer vor bekannten Versionen dieser Malware geschützt seien. „Android-Benutzer werden automatisch vor bekannten Versionen dieser Malware durch Google Play Protect geschützt, das auf Android-Geräten mit Google Play Services standardmäßig aktiviert ist. „Google Play Protect kann Benutzer warnen oder Apps blockieren, von denen bekannt ist, dass sie böswilliges Verhalten zeigen, selbst wenn diese Apps aus Quellen außerhalb von Play stammen“, wurde der Sprecher zitiert.
Wie diese Malware funktioniert, um Opfer auszutricksen
Der Trojaner „GoldPickaxe“, der Social-Engineering-Maßnahmen einsetzt, um Benutzer zu täuschen, wurde von der in Singapur ansässigen Group-IB entdeckt und soll Teil einer Malware-Suite sein, die von der chinesischen Bedrohungsgruppe „GoldFactory“ entwickelt wurde.Diese Gruppe ist für andere Malware-Stämme wie „GoldDigger“, „GoldDiggerPlus“ und „GoldKefu“ verantwortlich.
Laut Group-IB wurden Angriffe beobachtet, die vor allem auf den asiatisch-pazifischen Raum abzielten, vor allem auf Thailand und Vietnam.
Der Angriff beginnt mit Social-Engineering-Tricks. Laut einem Bericht von Bleeping Computer begann der Vertrieb von Gold Pickaxe im Oktober 2023 und dauert noch an. Opfer werden über Phishing-Nachrichten in der LINE-App angesprochen. Diese Nachrichten sind in der Landessprache verfasst und geben sich als Regierungsbehörden oder -dienste aus. Sie drängen die Opfer dazu, betrügerische Apps zu installieren, beispielsweise eine gefälschte „Digital Pension“-App, die auf Websites gehostet wird, die sich als Google Play ausgeben.
Auf iPhones leiteten die Bedrohungsakteure ihre Ziele zunächst an eine TestFlight-URL, um die schädliche App zu installieren, wodurch sie den normalen Sicherheitsüberprüfungsprozess umgehen konnten. Laut Group-IB ist die Android-Version des Trojaners aufgrund der höheren Sicherheitsbeschränkungen von Apple bösartiger als in iOS und auf Android nutzt der Trojaner über 20 gefälschte Apps als Tarnung.
Sobald die App auf einem Gerät installiert ist, arbeitet sie halbautonom, manipuliert Funktionen im Hintergrund, erfasst das Gesicht des Opfers, fängt eingehende SMS ab und fordert Ausweisdokumente an. Nach dem Sammeln der Daten nutzten die Hacker diese für Bankbetrug, vermutete Group-IB.
Was Google zu sagen hat
Ein Google-Sprecher sagte gegenüber Bleeping Computer, dass Android-Benutzer vor bekannten Versionen dieser Malware geschützt seien. „Android-Benutzer werden automatisch vor bekannten Versionen dieser Malware durch Google Play Protect geschützt, das auf Android-Geräten mit Google Play Services standardmäßig aktiviert ist. „Google Play Protect kann Benutzer warnen oder Apps blockieren, von denen bekannt ist, dass sie böswilliges Verhalten zeigen, selbst wenn diese Apps aus Quellen außerhalb von Play stammen“, wurde der Sprecher zitiert.