Group-IB の研究者は、Face ID スキャンを盗んでディープフェイクを作成し、被害者の銀行口座に不正にアクセスできる新しいマルウェアを発見しました。
Group-IB の新しいレポートによると、これは「非常にまれな出来事であり、特に iOS ユーザーを狙った新しい洗練されたモバイル トロイの木馬」です。 Group-IB の脅威インテリジェンス部門によって GoldPickaxe.iOS と名付けられたこのトロイの木馬は、「GoldDigger」、「GoldDiggerPlus」、「GoldKefu」などの他のマルウェア株を担当する、GoldFactory というコードネームで中国語を話す攻撃者に関連付けられています。
Android と iOS で利用可能なこの新しいマルウェアは、GoldDigger Android トロイの木馬をベースにしており、顔認識データ、身分証明書を収集し、SMS を傍受することができます。
「注目すべきは、GoldPickaxe.iOS は、Group-IB が観察した最初の iOS トロイの木馬であり、次の機能を組み合わせたものであるということです。被害者の生体認証データ、ID 文書の収集、SMS の傍受、被害者のデバイスを介したトラフィックのプロキシ」と研究者らは述べています。報告書の中で。
「その兄弟である Android は、iOS のより多くの制限と閉鎖的な性質により、対応する iOS よりもさらに多くの機能を備えています。」
Group-IBのアナリストは、主にタイとベトナムなどのアジア太平洋地域をターゲットとした、地元銀行や政府機関になりすました攻撃に気付いたと述べている。
GoldPickaxe は 2023 年 10 月に初めて発見され、現在も継続中ですが、Android と iOS の両方のユーザーを対象としています。これは、2023 年 6 月に Gold Digger で始まった GoldFactory キャンペーンの一環と考えられています。
このような攻撃では、攻撃者は、政府当局を模倣して、この地域で最も人気のあるインスタント メッセージング サービスの 1 つである LINE アプリ上でフィッシングまたはスミッシング メッセージを通じて潜在的な被害者と最初に接触し、その後、偽の URL を送信して、デバイス上の GoldPickaxe。
たとえば、Android の場合、犯罪者はタイ財務省の役人を装い、Google Play ストアのページを装った Web サイトやベトナムの偽の企業 Web サイトから「デジタル年金」アプリを装った詐欺的なアプリケーションをインストールするよう被害者を誘導しました。おそらく被害者がデジタルで年金を受け取ることができるようになるだろう。
ただし、iOS 用 GoldPickaxe の場合、攻撃者は当初、ベータ版ソフトウェアを配布する Apple の TestFlight ソフトウェアに被害者を誘導し、悪意のあるアプリをインストールさせました。この手法が失敗すると、彼らはモバイル デバイス管理 (MDM) プロファイルをインストールするように騙され、被害者のデバイスを完全に制御できるようになります。
トロイの木馬がモバイル デバイス上でアクティブになると、マルウェアは被害者の ID 文書と写真を収集し、受信 SMS メッセージを傍受し、被害者の感染したデバイスを介してトラフィックをプロキシするようになります。これに加えて、被害者は偽アプリの「確認方法」としてビデオを録画するよう促されます。
「GoldPickaxe は、偽のアプリケーションで確認方法としてビデオを録画するよう被害者に促します。録画されたビデオは、顔交換人工知能サービスによって促進されるディープフェイクビデオ作成の原材料として使用されます」とセキュリティ研究者のアンドレイ・ポロビンキン氏とシャーミン・ロウ氏は述べた。
生体認証スキャンが取得されると、これを利用して被害者になりすました AI ディープフェイクが作成され、サイバー犯罪者が顔認識チェックを回避して被害者のアカウントに不正アクセスできるようになります。
「私たちは、サイバー犯罪者が自分のデバイスを使用して銀行口座にログインしていると仮定しています。タイ警察はこの想定を確認し、サイバー犯罪者が自分の Android デバイスにバンキング アプリケーションをインストールし、キャプチャした顔スキャンを使用して顔認識チェックを回避し、被害者のアカウントに不正アクセスを実行していると述べました」と Group-IB は結論づけています。
「GoldFactory のような脅威アクターは、明確に定義されたプロセスと運用の成熟度を備えており、創意工夫のレベルが向上しています。さまざまな地域に合わせてマルウェアの亜種を同時に開発し、配布する彼らの能力は、憂慮すべきレベルの高度さを示しています。」
マルウェアから保護され続けるために、Group-IB は銀行ユーザーに対し、不審なリンクをクリックしないこと、アプリケーションを Google Play ストア、Apple App Store、Huawei AppGallery などの公式プラットフォームからのみダウンロードすること、新しいアプリケーションをインストールするときに要求された権限を慎重に確認することをアドバイスしています。アプリを使用する場合は、メッセンジャーに不明な連絡先を追加しないようにし、銀行通信の正当性を確認し、詐欺に遭ったと思われる場合は銀行に連絡して速やかに行動してください。