Троян GoldPickaxe крадёт лица пользователей iOS и Android

Екатерина Быстрова 15 Февраля 2024 - 13:42

Домашние пользователи

...

Новый троян GoldPickaxe, атакующий пользователей iOS и Android, использует интересную схему социальной инженерии: жертв обманом заставляют сканировать лица и удостоверяющие документы. В последующем эти данные могут использоваться для создания дипфейков.

Активность GoldPickaxe зафиксировали специалисты компании Group-IB. Считается, что за трояном стоит китайская кибергруппа GoldFactory (она же якобы в прошлом разрабатывала вредоносы GoldDigger, GoldDiggerPlus и GoldKefu).

Исследователи опасаются, что методами GoldPickaxe в будущем могут воспользоваться операторы других зловредов.

Атаки трояна стартовали в октябре 2023 года. Эксперты считают, что это часть крупной кампании GoldFactory, запущенной в июне 2023-го (в ней также принимает участие Gold Digger).

Всё начинается с фишинговых или смишинговых сообщений в приложении LINE, которые обычно маскируются под уведомления от властей. Злоумышленники пытаются заставить жертву установить софт «Digital Pension», размещённый в фейковых копиях площадки Google Play Store.

Для пользователей iOS киберпреступники сначала адаптировали схему с помощью приложения TestFlight, которое позволяло обойти стандартные проверки безопасности. Позже Apple удалила TestFlight, а атакующие переключились на загрузку вредоносного профиля управления мобильными устройствами (MDM).

После установки на устройстве GoldPickaxe работает в фоновом режиме и может сканировать лицо пользователя. Помимо этого, вредонос перехватывает входящие СМС-сообщения, запрашивает удостоверяющие документы и перенаправляет сетевой трафик с помощью MicroSocks.

Список поддерживаемых трояном команд выглядит так:

Heartbeat — пингует командный сервер (C2);
init — отправляет C2 информацию об устройстве;
upload_idcard — запрашивает у жертвы фотографию удостоверяющего документа;
face — запрашивает видеозапись лица жертвы;
upgrade — отображает фейковое сообщение «устройство используется», чтобы предотвратить вмешательство в работу;
album — синхронизирует дату фотогалереи;
again_upload — повторно выгружает лицо жертвы в ведро;
destroy — останавливает процесс трояна.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 03 Декабря 2024 - 20:09

Корпорации Softline

ГК Softline выведет на IPO дочек Девелонику, Bell Integrator и SL Soft

ГК Softline собирается объединить дочерние ИТ-компании Bell Integrator, «Девелоника» и SL Soft и провести IPO нового субхолдинга — скорее всего, во второй половине 2025 года, когда условия станут более благоприятными.

Как стало известно ТАСС, первое публичное размещение может состояться на Мосбирже, где торгуются акции самой Softline. Суммарная капитализация трех дочек, по оценкам, превышает 40 млрд руб., валовая рентабельность после объединения может достичь 80%.

Согласно последнему финотчету Softline (по МСФО), в III квартале текущего года оборот группы ИТ-компаний достиг 28,3 млрд руб., увеличившись на 28% в сравнении с показателем годовой давности. Валовая рентабельность возросла до 29% (на 3 п. п.).

Чистая прибыль, полученная в отчетный период, превысила 2 млрд рублей. Скорректированный показатель EBITDA возрос более чем в два раза, до 1,2 млрд рублей.

Выводить своих дочек на биржу собирался также «Ростелеком». Осенью ожидалось IPO «РТК-ЦОД», но в итоге оно было отложено до лучших времен. После этого настанет черед ГК «Солар», эти планы пока в силе.

Троян GoldPickaxe крадёт лица пользователей iOS и Android

Читайте также