史上初のiOSに対応したトロイの木馬「GoldPickaxe」が発見される

開発者がアプリを実験的にリリースするための仕組み「TestFlight」等を悪用して端末に侵入する史上初のiOS版トロイの木馬が発見されました。報告によると、「GoldPickaxe」と名付けられた当該マルウェアは、被害者の銀行口座から資金を引き出すために利用されるそうです。

Face Off | Group-IB Blog
https://www.group-ib.com/blog/goldfactory-ios-trojan/

First ever iOS trojan discovered — and it’s stealing Face ID data to break into bank accounts | Tom's Guide
https://www.tomsguide.com/computing/malware-adware/first-ever-ios-trojan-discovered-and-its-stealing-face-id-data-to-break-into-bank-accounts

2024年2月15日にセキュリティ企業のGroup-IBが報告した新しいレポートによると、Android端末で動作するように設計されたトロイの木馬「GoldDigger」をベースにしたマルウェアが2023年10月に初めて発見されたとのこと。

Group-IBはこのマルウェアを「GoldPickaxe」と名付けて調査を実施。Group-IBによると、GoldPickaxeにはiOS版とAndroid版があり、GoldDiggerとは違い検知を回避するために設計された定期的なアップデートが施されているのが特徴だそうです。

iOS版の「GoldPickaxe.iOS」は顔認識データやSMSを傍受することが可能なほか、ハッカーは盗んだ生体認証データを悪用してAIによるディープフェイクを作成することもでき、盗んだIDやSMSからの情報を生体情報と組み合わせて被害者の銀行口座に不正にアクセスできるとのこと。

GoldPickaxe.iOSを悪用したハッカーは、当初AppleのモバイルアプリケーションテストプラットフォームであるTestFlightを利用してマルウェアを配布していました。しかし、その後TestFlightからアプリが削除されたため、ハッカーは端末を一元管理するための仕組み「モバイルデバイス管理(MDM)」に着目。トロイの木馬を仕込んだMDMプロファイルを被害者にインストールさせるためにソーシャルエンジニアリングによる攻撃を仕掛け、デバイスを完全に制御することに成功したそうです。

発表時点では、GoldPickaxeはベトナムとタイの被害者のみを標的として使用されているとのこと。特にタイ銀行では2023年3月以降、5万バーツ(約21万円)以上の取引を行う際は生体認証にて本人確認を行うようにしているため、こうした取引で盗まれた生体情報が使用される可能性があります。またベトナムでも「公共サービスアプリ」に偽造したアプリから生体情報を盗まれ、銀行預金を奪われてしまったというニュースが報じられており、Group-IBはGoldPickaxeとの関連を疑っています。

Group-IBは、GoldPickaxeが中国語を話すサイバー犯罪グループ「GoldFactory」によって開発されたものだと考えており、さらにGoldFactoryは別のAndroid用マルウェア開発組織「Gigabud」と密接な関係を持つとも推察しているとのこと。

トロイの木馬の侵入を防ぐ方法として、Group-IBは「怪しいリンクをクリックしないこと」「アプリは公式プラットフォームからのみダウンロードすること」「アプリが要求する権限に細心の注意を払うこと」などを推奨しています。