- Group-IB が、改ざんされたモバイルバンキングアプリを GoldFactory に関連付け
- 攻撃者は正規アプリを逆コンパイルし、トロイの木馬/バックドアを追加して、フィッシングメールや偽サイトを通じて拡散
- 高度なマルウェアファミリーによりデバイスを完全乗っ取りし、数万人規模のユーザーがバンキング詐欺の危険にさらされる
ハッカーは、ユーザーをだまして改ざんされたモバイルバンキングアプリをダウンロードさせ、ログイン認証情報を盗み、行動を監視し、多くの場合には金融詐欺を可能にしています。
これはサイバーセキュリティ研究機関 Group-IB によるもので、同社は最近のレポートで、このグループはおそらくアジア太平洋地域で顔認証データを盗み、企業や消費者を標的としてきた GoldFactory であると述べています。
このプロセスの第一段階は、正規のバンキングアプリを逆コンパイルすることです。これにより攻撃者は、自身のコード、通常はリモートアクセス型トロイの木馬や、ある種のバックドアを追加できるようになります。その後、アプリを再コンパイルし、本物とほとんど見分けがつかないランディングページを作成します。
高度なバンキング詐欺
そこから彼らは、「標的型ソーシャルエンジニアリングキャンペーン」に乗り出し、地方自治体やさまざまなサービスプロバイダーになりすますと、研究者らは述べています。つまり攻撃者は、説得力のあるフィッシングの誘い文句を作り、人々を偽の政府機関やサービスプロバイダーのサイトに誘導し、そこで改ざんされたアプリをサイドロードさせるのです。
最悪なのは、このアプリが表面上は本来どおりに動作するため、被害者は信用してしまい、裏で何が起きているのかに気づかない点です。
「GoldFactory は SkyHook、FriHook、PineHook、Gigabud 亜種など、高度なフッキング型マルウェアファミリー一式を使用して、アプリの完全性チェックを回避し、悪意ある活動を隠蔽し、感染したデバイスを完全に制御します。これらのツールにより、攻撃者は機密データを取得し、画面上の操作を自動化し、さらには被害者のスマートフォンを遠隔で閲覧・操作することさえ可能になります」と Group-IB は説明しています。
これまでのところ焦点はアジア太平洋地域にありますが、この手法により各国への迅速な展開が可能になっているといいます。その結果、数万人のユーザーと数十の金融機関が「高インパクトのバンキング詐欺」にさらされている状況です。
インターポールの元サイバー犯罪部長である Craig Jones 氏は、最近ポッドキャスト番組「Masked Actors」の中で GoldFactory について語り、その犯行手口は「高度なバンキング詐欺だ」と述べました。
TechRadar Pro は 2024 年 2 月中旬、Gold-IB が GoldPickaxe を発見した際に、GoldFactory について初めて報じました。GoldPickaxe は生体認証データを盗み、それを使って説得力のあるディープフェイクを生成し、後にモバイルバンキングアプリへの侵入に悪用できるトロイの木馬です。
