Oligur

• ニュース

iOSを標的としたトロイの木馬が初めて確認されました。新たな報告によると、この新しいマルウェアは、Androidを標的とした既知のトロイの木馬「GoldDigger」を改変したもので、「GoldPickaxe」と呼ばれています。このマルウェアはiPhoneユーザーの顔認識データを窃取し、銀行などの金融アプリで金銭を盗み出します。その仕組みを以下にご紹介します。

iOS初のトロイの木馬「GoldPickaxe」が顔認識データを盗み、銀行口座にアクセス

無害なプログラムを装ったトロイの木馬などのマルウェアがMacに出現したことはありますが、iPhoneに侵入して金銭を盗むように設計されたマルウェアは今回が初めてです。

サイバーセキュリティ企業Group-IBの新しいレポートによると、2023年10月に初めて発見されたバンキングマルウェア「GoldDigger」の派生であるGoldPickaxeには、AndroidおよびiOSデバイスを介して銀行口座から資金を奪おうとするさまざまなバージョンがある。

これまでのところ、GoldPickaxe.iOS トロイの木馬は東南アジアで活動しているが、他の国々にも簡単に拡大する可能性があると同グループは述べている。

GoldPickaxe.iOS はどのように機能しますか?

このマルウェアはデバイスにダウンロードされると、顔認識データを収集し、文書を識別し、コードネーム「GoldFactory」と呼ばれるこの計画の背後にいる「脅威アクター」のためにテキストメッセージを読み取る。

ダウンロードは通常、本物と間違えられた偽の政府系アプリの形で届きます。デバイス上でアクティブになると、トロイの木馬はバックグラウンドで機能を操作します。例えば、被害者の顔写真を撮影したり、SMSメッセージを読んだり、身分証明書を要求したり、ネットワークトラフィックをプロキシしたりすることができます。

それは良くない話だ。Group-IBによると、GoldPickaxeが盗んだ生体認証データを利用することで銀行口座へのアクセスが可能になるというから、さらにひどい話だ。

窃取した生体認証データを悪用するために、脅威アクターはAIを活用した顔認識サービスを利用してディープフェイクを作成します。このデータと身分証明書、そしてSMS傍受機能を組み合わせることで、サイバー犯罪者は被害者の銀行口座への不正アクセスが可能になります。これは、Group-IBの研究者が他の詐欺スキームではこれまで発見したことのない、新たな金銭窃取手法です。

Group-IBは、Appleのセキュリティが強化されているため、iOSデバイスではAndroidデバイスよりもマルウェアの悪意ある機能が少ないと指摘する。例えばAndroidでは、画面上でクリックしたり、最近撮影した写真100枚をダウンロードしたり、偽の通知を表示したりといった操作が可能だ。

また、このマルウェアは被害者の肖像をキャプチャーできるものの、暗号化された Face ID データはキャプチャーできない。

どのように配布されますか?

研究者らは、GoldPickaxeの配布スキームも「注目に値する」と指摘した。これは、AppleのモバイルアプリテストプラットフォームTestFlightを悪用しようとする試みが行き詰まったことで、フィッシングを含むさらに悪質なスキームが生まれたためである。

脅威アクターは当初、AppleのモバイルアプリケーションテストプラットフォームであるTestFlightを利用してマルウェアを拡散しました。TestFlightから悪意のあるアプリが削除された後、脅威アクターはより洗練された手法を採用しました。彼らは多段階のソーシャルエンジニアリング手法を用いて、被害者にモバイルデバイス管理（MDM）プロファイルをインストールさせました。これにより、脅威アクターは被害者のデバイスを完全に制御することができました。

新たなマルウェアの被害者は、今のところタイとベトナムで確認されている。しかし、Group-IBは、これらの国以外にも活動を拡大する可能性があると述べている。

この記事は最初に 2024 年 2 月 19 日に公開され、その後 2024 年 2 月 22 日に詳細を追加して更新されました。