Eine chinesischsprachige Bedrohungsakteur namens GoldFactory wird für die Entwicklung hochentwickelter Banking-Trojaner verantwortlich gemacht, darunter eine bisher unbekannte Malware für iOS namens GoldPickaxe. Diese ist in der Lage, Identitätsdokumente, Gesichtserkennungsdaten und SMS abzufangen. GoldFactory ist eine gut organisierte Gruppe von Cyberkriminellen mit engen Verbindungen zu Gigabud und ist seit mindestens Mitte 2023 aktiv. Neben GoldPickaxe ist die Gruppe auch für den Android-basierten Banking-Trojaner GoldDigger verantwortlich. Die Malware wird über Social Engineering-Kampagnen verbreitet, die sich als lokale Banken und Regierungsorganisationen ausgeben und in erster Linie auf die asiatisch-pazifische Region abzielen. Die iOS-Variante von GoldPickaxe nutzt dabei eine andere Verbreitungsmethode, die App wird über Apple’s TestFlight Plattform verteilt. Die Malware umgeht die Sicherheitsmaßnahmen von Thailand, die größere Transaktionen per Gesichtserkennung bestätigen, indem sie die Opfer dazu bringen, ein gefälschtes Video aufzunehmen, das dann für Deepfake-Videos verwendet wird. Sowohl die Android- als auch die iOS-Version der Malware sind darauf ausgelegt, Identifikationsdokumente und Fotos des Opfers zu sammeln, eingehende SMS abzufangen und den Datenverkehr über das kompromittierte Gerät zu leiten.
GoldDigger, eine andere Malware der Gruppe, hat Ähnlichkeiten im Code mit GoldPickaxe und zielt hauptsächlich darauf ab, Bankdaten zu stehlen. Es wurden keine GoldDigger-Artefakte für iOS-Geräte gefunden. Um sich vor den Bedrohungen durch GoldFactory und seine mobile Banking-Malware zu schützen, wird empfohlen, keine verdächtigen Links anzuklicken, keine Apps von nicht vertrauenswürdigen Seiten herunterzuladen und regelmäßig die Berechtigungen von Apps zu überprüfen, insbesondere solche, die die Zugänglichkeitsdienste von Android anfordern.
