Group-IBは2月15日(現地時間)、「Gold Rush is back to APAC: Group-IB unveils first iOS trojan stealing your face|Group-IB」において、iOSおよびAndroidユーザーを標的とする新しいトロイの木馬「GoldPickaxe」を発見したと報じた。このマルウェアはユーザーの顔認証データ、身分証明書、ショートメッセージサービス(SMS: Short Message Service)を窃取するように設計されているという。

  • Gold Rush is back to APAC: Group-IB unveils first iOS trojan stealing your face|Group-IB

    Gold Rush is back to APAC: Group-IB unveils first iOS trojan stealing your face|Group-IB

マルウェア「GoldPickaxe」の正体

Group-IBによると、GoldPickaxeは中国語を話す脅威アクター「GoldFactory」が開発したマルウェアとされる。GoldFactoryはこれまでにも「GoldDigger」「GoldDiggerPlus」「GoldKefu」など、Android向けバンキング型トロイの木馬を開発している。主な標的はタイ、ベトナムなどのアジア太平洋地域のユーザーとされる。

  • GoldFactoryが開発したマルウェアのタイムライン - 提供:Group-IB

    GoldFactoryが開発したマルウェアのタイムライン  引用:Group-IB

GoldPickaxeは偽のタイ政府のサービスアプリを用いて、包括的な顔認証データの作成と身分証明書の顔写真を要求する。その上で電話番号、銀行口座情報の提供を求める。彼らは一連の情報を悪用し、銀行口座に不正アクセスするとみられている。

Group-IBはこのマルウェアの配布経路は特徴的と指摘している。当初はAppleのモバイルアプリケーションテストプラットフォーム「TestFlight」を悪用していたが、悪意のあるアプリとして削除されている。その後、脅威アクターは脆弱性を悪用しない方法を採用。多段階のソーシャルエンジニアリング手法を用いて標的をだまし、必要なすべての権限を許可させてマルウェアを標的のデバイスにインストールする。この過程で被害者はモバイルデバイス管理(MDM: Mobile Device Management)プロファイルをインストールさせられ、デバイスを完全に乗っ取られる。

  • GoldPickaxeの侵害経路 - 提供:Group-IB

    GoldPickaxeの侵害経路  引用:Group-IB

Group-IBによると、GoldPickaxeは侵害したデバイスから直接利益を得ることはないという。窃取した情報から認証用のディープフェイク動画を作成し、脅威アクターが所有するAndroidデバイスのアプリから被害者の銀行口座に不正アクセスして利益を得る。このような顔認証はタイの金融機関で頻繁に悪用されており、ディープフェイク動画で認証を突破できるとみられている。

脅威アクター「GoldFactory」は中国圏の集団か

Group-IBの調査によると、GoldFactoryが開発したすべてのマルウェアに中国語のデバッグ文字列が含まれているという。また、脅威アクターのコマンド&コントロール(C2: Command and Control)からも中国語が確認できるため、脅威アクターは中国語圏の人物または集団と推測されている。

この脅威アクターはなりすまし、キーロガー、偽の銀行Webサイト、偽の銀行アラート、偽の通話画面、顔認証データの収集など、さまざまな戦略に精通した高度なサイバー犯罪者と評価されている。その活動から地域に特化した開発者とオペレーターで構成される集団の可能性が高いとされる。

不正なスマホアプリへの対策

Group-IBはこのような脅威を回避するために、金融機関に対してマルウェアの存在を検出できるユーザーセッション監視システムを実装することを推奨している。また、利用者に対しては不審なリンクにアクセスしない、公式ストア以外からアプリをダウンロードしない、アプリの権限を適切に管理する、詐欺が疑われる場合は速やかに通報するといった行動を推奨している。

なお、今回指摘されている顔認証データについて、BleepingComputerはiOSの顔認証データが窃取されるわけではないと注意点を述べている。この脅威アクターは顔写真を窃取し、ディープフェイクを活用して銀行の認証用動画を作成するが、それはFace IDのデータとは関係ないとしてiOSの認証自体に影響はないと指摘している。