Das iPhone gilt allgemein als ziemlich sicher vor Viren und Trojanern. Das Cybersicherheitsunternehmen Group-IB ist nun dennoch auf einen neuen Trojaner für das iPhone-Betriebssystem iOS gestossen, der chinesischen Cyberkriminellen dabei helfen soll, Informationen zu erhalten, die sie benötigen, um Geld von den Bankkonten der Opfer zu stehlen.
Die chinesische Hackergruppe wird von Group-IB als GoldFactory bezeichnet und ist im Juni 2023 erstmals in Erscheinung getreten. Sie scheint auf Südostasien abzuzielen, wobei Angriffe bisher in Thailand und Vietnam durchgeführt wurden.
Die Cyberkriminellen konzentrierten sich zunächst auf die Entwicklung von Android-Trojanern, die Bankdaten und andere Informationen stehlen sollten. Group-IB nannte diese Trojaner GoldDigger, GoldDiggerPlus und GoldKefu. Im Oktober 2023 haben die Hacker*innen dann eine Malware namens GoldPickaxe entwickelt, die sowohl Android- als auch iOS-Varianten hat.
Der GoldPickaxe-Trojaner soll Gesichtserkennungsdaten, Ausweisdokumente und SMS-Nachrichten vom infizierten Mobilgerät sammeln. Mithilfe dieser Daten können sich die Hacker*innen etwa Zugriff auf das Bankkonto des Opfers verschaffen und unbefugte Geldtransfers durchführen. In Thailand können Banken eine Überprüfung per Gesichtserkennung verlangen, wenn Kund*innen grössere Geldbeträge überweisen möchten.
Die iOS-Version der GoldPickaxe-Malware ist in der Lage, Fotos aus der Bibliothek des infizierten iPhones zu sammeln, SMS-Nachrichten abzufangen, die Gesichter der Opfer zu erfassen und den Netzwerkverkehr über das infizierte Gerät weiterzuleiten. Der Trojaner kann die Opfer auch anweisen, ein Foto ihrer Ausweise vorzulegen. Die erhaltenen Informationen werden dann unter anderem dafür verwendet, um Deepfakes zu erstellen, berichtete Group-IB.
Die als App der thailändischen Regierung getarnte iOS-Schadsoftware wurde zunächst mithilfe von TestFlight, einem Apple-Tool zum Testen von Anwendungen vor ihrer Veröffentlichung im offiziellen App Store, auf den Geräten installiert.
Nachdem Apple Massnahmen ergriffen hatte, um den Missbrauch von TestFlight zu verhindern, nutzten die Hacker das Mobile Device Management (MDM), das eigentlich für den Einsatz mit Firmenhandys gedacht ist. Konkret verleiteten sie Opfer dazu, ein MDM-Profil zu installieren, das es den Angreifern ermöglicht, die Malware herunterzuladen und auf dem iOS-Gerät zu installieren.
Das heisst aber auch, dass vor einer Infektion die iPhone-Nutzer*innen mehrere explizite Warnungen ignoriert haben, um die Installation der Schadsoftware zu ermöglichen. Demzufolge ist es mit minimaler Aufmerksamkeit möglich, sich vor dem Trojaner zu schützen, etwa, in dem Apps ausschliesslich über den offiziellen App Store geladen werden.