Hogyan férhetnek hozzá a bankfiókodhoz az arcoddal, anélkül, hogy sejtenéd ? Az Ázsiából tavaly júniusában indult vírus nemcsak a bankkártyaadatainkhoz, de a csalók által manipulált áldozatok arcához is hozzáférhetnek a telefonok kameráján keresztül, hogyha nem figyelnek kellően, hogy melyik ,,hivatalos” oldalon jelentkeznek be. A biometrikus adatokat megszerző ,,GoldPickaxe” névre keresztelt trójai pedig már nemcsak az Androidos készülékeket képes megtámadni, hanem-először-IOS operációs rendszerű telefonokat is.
A GoldPickaxe variációi
A telefonos csalásokra specializálódott hackercsoport, a ,,GoldFactory” 2023 júniusában kezdte meg vírusainak terjesztését, ami a személyazonosító okmányainktól kezdve, az arcfelismerő rendszer adatain át a beérkező SMS-ket is képes begyűjteni. A -legújabb- GoldPickaxe trójai előzménye a GoldDigger volt, ami még csak Androidos telefonokra lett tervezve. Ennek fejlesztésével, a GoldDiggerPlus-sal már lehetőségük volt a csalóknak, hogy valós időben hívják fel áldozataikat, és hivatalos személyeknek adják ki magukat.
A Group-IB kibervédelmi cég által észlelt vírus egyenlőre főként Thaiföldön szedi áldozatait. Ennek egyik oka az lehet, hogy 2023. márciusában a Thaiföldi Nemzeti Bank felszólította a bankokat, hogy a nagy tranzakciójú utalások megerősítésére vezessék be az arcfelismerő rendszert. A cég úgy véli, hogy a közeljövőben Vietnámban is el fog terjedni a vírus, ugyanis az ottani Nemzeti Bank idén áprilistól szintén átveszi az arcfelismerős megerősítést az utalásoknál.
A vírus működése
A social engineering technikával banki adatainkat megszerezni kívánó ,,GoldPickaxe” lényege, hogy a gyanútlan felhasználókat ráveszik arra, hogy lefotózzák okmányaikat, és a csalók által létrehozott-de megszólalásig hasonlító- kormányzati alkalmazásokon történő bejelentkezésnél az arcukról fotókat/videókat készítsenek, melyeket aztán deepfake-kel átalakítva használnak fel, hogy hozzáférjenek a bankfiókjaikhoz.
Az embereket az Ázsiában népszerű Line nevű appon keresztül környékezik meg a csalók, mégpedig közigazgatási szerveknek adva ki magukat. Az üzenetekben aztán megpróbálják rávenni az embereket, hogy a megadott linkre kattintva kártékony alkalmazásokat (ilyen app például a Digital Pension, ami az idős emberek nyugdíját tartja számon) töltsenek le a Google Play-n keresztül. Amint a vírus egy hamis kormányzati alkalmazás formájában felkerült egy telefonra, félig autonóm módon kezd tevékenykedni. Csakúgy mint az eredeti applikációban, az első lépés itt is a bejelentkezés.
Miután a gyanútlan emberek megadták a felhasználóneveiket és jelszavaikat, átirányítják őket egy következő oldalra, ahol az arcukról kell fotót/videót készíteniük, hogy megerősítsék identitásukat. A mesterséges intelligencia segítségével ezután a csalók, arcukat az áldozatok arcára cserélik, amivel könnyen hozzáférhetnek a bankfiókjaikhoz.
Az iOS felhasználók számára a hackerek kezdetben egy TestFlight-on belüli alkalmazást próbáltak letöltetni az emberekkel. A TestFlight egy olyan oldal, ahova az alkalmazásfejlesztők feltölthetik és tesztelhetik a még kiadatlan appjaikat. Amikor azonban az Apple eltávolította a vírust hordozó alkalmazást, a csoport áttért egy rosszindulatú mobileszköz-kezelő (MDM=Mobile Devices Management) profil telepítésére, amely lehetővé teszi számukra, hogy átvegyék az irányítást az eszközök felett. A mobileszköz-felügyelettel ,, biztonságosan és vezeték nélkül konfigurálhatja az eszközöket profilok és parancsok átküldésével". Vagyis lehetőségük vana távolból irányítani a telefonokat, így telepíthetnek alkalmazásokat, megváltoztathatják a telefon jelkódját, vagy akár a készüléket is zárolhatják.
Ahogy a Group-IB is figyelmeztet, fontos, hogy ne kattintsunk gyanús linkekre, csak a hivatalos áruházakból (Google Play, AppStore) töltsünk le alkalmazásokat és az alkalmazások telepítésekor olvassuk át az alkalmazás által kért engedélyeket.
Nincsenek megjegyzések:
Megjegyzés küldése