ハッカーがFace IDスキャンを盗んでモバイルバンキング口座から盗む

Group-IBの研究者たちは、Face IDスキャンを盗んでディープフェイクを作成し、被害者の銀行口座への不正アクセスを得る新しいマルウェアを発見しました。

Group-IBの新しい報告によると、これは「非常にまれな事例であり、iOSユーザーを特に狙った新しい高度なモバイルトロイの木馬」です。このトロイの木馬はGoldPickaxe.iOSと名付けられ、Group-IBの脅威インテリジェンスユニットによって、中国語を話す脅威アクターGoldFactoryに関連付けられています。GoldFactoryは「GoldDigger」、「GoldDiggerPlus」、「GoldKefu」などの他のマルウェア株の責任を負っています。

新しいマルウェアはAndroidとiOSの両方で利用可能で、GoldDigger Androidトロイの木馬に基づいており、顔認識データ、身分証明書、SMSの傍受を収集する能力があります。

「GoldPickaxe.iOSは、被害者の生体データ、ID文書を収集し、SMSを傍受し、被害者のデバイスを通じてトラフィックをプロキシするという機能を組み合わせたGroup-IBが観測した最初のiOSトロイの木馬であることに注目すべきです」と研究者たちは報告書で述べています。

「そのAndroidの兄弟は、iOSの兄弟よりもさらに多くの機能を持っています。これは、iOSの制限と閉じた性質によるものです。」

Group-IBは、アナリストが主にアジア太平洋地域、特にタイとベトナムをターゲットにした攻撃を確認し、地元の銀行や政府機関を偽装していると述べています。

GoldPickaxeは2023年10月に初めて発見され、現在も進行中で、AndroidとiOSの両方のユーザーをターゲットにしています。これは、2023年6月にGold Diggerで始まったGoldFactoryキャンペーンの一部と見なされています。

このような攻撃では、攻撃者がLINEアプリを通じてフィッシングやスミッシングメッセージで潜在的な被害者に最初の接触を行い、政府当局を模倣した後、GoldPickaxeをデバイスに展開する偽のURLを送信しました。

例えば、Androidの場合、犯罪者はタイ財務省の公式を模倣し、被害者を「デジタル年金」アプリを装った詐欺アプリのインストールに誘導しました。これはGoogle Playストアのページやベトナムの偽の企業ウェブサイトを装ったウェブサイトから行われ、被害者がデジタルで年金を受け取ることができるとされていました。

しかし、iOS用のGoldPickaxeの場合、脅威アクターは最初に被害者をAppleのTestFlightソフトウェアに誘導し、ベータソフトウェアを配布して悪意のあるアプリをインストールさせました。この手法が失敗した場合、彼らはモバイルデバイス管理（MDM）プロファイルのインストールを騙し、被害者のデバイスを完全に制御することができました。

トロイの木馬がモバイルデバイスでアクティブ化されると、マルウェアは被害者のID文書や写真を収集し、受信SMSメッセージを傍受し、被害者の感染したデバイスを通じてトラフィックをプロキシする能力を持っています。さらに、被害者は偽のアプリで「確認方法」としてビデオを録画するように促されます。

「GoldPickaxeは、被害者に偽のアプリケーションで確認方法としてビデオを録画するように促します。録画されたビデオは、顔交換人工知能サービスによって促進されるディープフェイクビデオの作成のための素材として使用されます」とセキュリティ研究者のアンドレイ・ポロヴィンキンとシャーミン・ローは述べています。

生体認証スキャンがキャプチャされると、これはAIディープフェイクを作成するために使用され、被害者を模倣し、サイバー犯罪者が顔認識チェックをバイパスして被害者のアカウントに不正アクセスを行うことを可能にします。

「サイバー犯罪者は自分のデバイスを使用して銀行口座にログインしていると仮定しています。タイ警察はこの仮定を確認しており、サイバー犯罪者が自分のAndroidデバイスに銀行アプリケーションをインストールし、キャプチャされた顔スキャンを使用して顔認識チェックをバイパスして被害者のアカウントに不正アクセスを行っていると述べています」とGroup-IBは結論付けました。

「GoldFactoryのような脅威アクターは、明確に定義されたプロセス、運用の成熟度を持ち、創造性のレベルが向上しています。異なる地域に合わせたマルウェアのバリアントを同時に開発・配布する能力は、懸念すべき高度なレベルを示しています。」

マルウェアから保護されるために、Group-IBは銀行ユーザーに対し、疑わしいリンクをクリックしない、公式プラットフォーム（Google Playストア、Apple App Store、Huawei AppGalleryなど）からのみアプリケーションをダウンロードする、新しいアプリをインストールする際に要求される権限を注意深く確認する、知らない連絡先をメッセンジャーに追加しない、銀行通信の有効性を確認する、詐欺に遭ったと思われる場合は迅速に銀行に連絡するようにアドバイスしています。