Исследователи Group-IB обнаружили троян GoldPickaxe, который похищает биометрические данные пользователей iPhone. Отмечается, что злоумышленники используют их для создания дипфейков.
Троян GoldPickaxe атаковал пользователей из Таиланда. Вирус маскируется под приложение государственных услуг страны. Кроме того, жертвы атаки были зафиксированы на территории Вьетнама. Хакеры начали свою деятельность в июне 2023 года и продолжают до сих пор.
Вредоносное приложение просит пользователей пройти регистрацию. Для этого необходимо сфотографировать удостоверение личности и сделать скан лица. Эти данные, как отмечают исследователи, используются для создания дипфейков. С ними злоумышленники могут проходить проверки в банковских приложениях и в государственных сервисах. Кроме того, приложение перехватывает SMS.
Изначально троян распространяли через систему тестирования iOS-приложений TestFlight. Это помогало обойти модерацию в AppStore. После многочисленных жалоб приложение удалили с платформы, и хакеры начали использовать методы социальной инженерии, чтобы установить профиль корпоративной системы управления мобильными устройствами. Уже с его помощью можно установить приложение на смартфон жертвы.
Изначально семейство троянов GoldDigger существовало только для Android-смартфонов. Теперь злоумышленники смогли перенести его на iOS и начали расширять географию атак. Предполагается, что разработкой трояна занимается китайская хакерская группировка GoldFactory, которая ранее выпускала фишинговые банковские приложения.
Исследователи Group-IB сообщили все известные детали представителям Apple. В своём блоге компания опубликовала подробное исследование.
