GoldFactory: Cyberkriminelle stehlen dein Gesicht

Genau das ist die Vorgehensweise von GoldFactory – einer Cybercrime-Gruppe, die erstmals im Oktober 2023 von Expert:innen bei Group-IB entdeckt wurde – die biometrische Gesichtsdaten von Nutzer:innen stiehlt. Im Jahr 2024 stellte Group-IB fest, dass die Gruppe einen neuen, ausgeklügelten mobilen Trojaner namens GoldPickaxe.iOSeinsetzte, der auf iOS-Nutzer:innen abzielte. GoldPickaxe-Trojaner sammeln Gesichtserkennungsdaten, Ausweisdokumente und fangen SMS-Nachrichten ab – alles, was Kriminelle benötigen, um auf Bankkonten ihrer Opfer zuzugreifen.

In diesem Jahr wurde die Gruppe in die Top Ten der aktivsten Cybercrime-Gruppen aufgenommen, die laut Group-IB die Bedrohungslandschaft maßgeblich mitgestalten. Diese Liste ist Teil des umfassenden „High-Tech Crimes Trend“-Berichts und basiert auf Erkenntnissen aus über 1550 Ermittlungen zu Hightech-Kriminalität.

Wer ist GoldFactory?

Group-IB identifizierte GoldFactory als eine gut organisierte, chinesischsprachige Cybercrime-Gruppe mit engen Verbindungen zu Gigabud – einem aufsehenerregenden Banking-Trojaner, der erstmals 2022 entdeckt wurde. Die Gruppe ist derzeit in der APAC-Region aktiv. Die auffälligen Gold-bezogenen Bezeichnungen der Gruppe und ihrer Schadsoftware stammen aus Codezeilen, die von den Forscher:innen bei Group-IB entschlüsselt wurden.

GoldFactory hat bisher Finanzunternehmen und deren Kunden ins Visier genommen, hauptsächlich in Vietnam und Thailand. Es wird jedoch vermutet, dass die Gruppe bald versuchen wird, ihren Einflussbereich weiter auszudehnen. Cyberkriminelle testen oft, validieren, bereiten sich auf die Skalierung vor. Es ist sehr wahrscheinlich, dass wir sehen werden, wie diese Gruppe ihre Aktivitäten ausweitet, sobald sie ihre Methoden perfektioniert haben – auch außerhalb des Asien-Pazifik-Raums. Die Gruppe stiehlt biometrische Daten und führt dann sogenannte Cash-Out-Angriffe auf Bankkonten durch, wobei sie Deepfakes der Gesichter der Opfer nutzt, um Sicherheitsmechanismen zu umgehen.

Was ist GoldPickaxe?

GoldPickaxe gehört zu einer Reihe aggressiver Banking-Trojaner, die von GoldFactory betrieben werden. Diese ausgeklügelte mobile Schadsoftware existierte bereits in mehreren Varianten für Android, oft mit dem Ziel, Zugangsdaten zu stehlen oder Systemeinstellungen zu manipulieren – aber GoldPickaxe ist einzigartig. Zum einen existiert er sowohl für Android als auch für iOS – was im Bereich Finanzkriminalität selten ist – und zum anderen ist es das erste bekannte Beispiel einer Cybercrime-Gruppe, die KI-basierte Face-Swapping-Technologie einsetzt, um Deepfakes zu erstellen, mit denen Gesichtserkennungs-Systeme umgangen werden.

Wie skalieren sie?

Die ersten bekannten Fälle dieses Betrugs wurden in Thailand gemeldet, nachdem die Bank of Thailand die Gesichtserkennung als Verifizierung eingeführt hatte. Kurz darauf wurde bekannt, dass eine vietnamesische Person Opfer einer mobilen App mit allen Merkmalen von GoldPickaxe wurde. Das Opfer führte die angeforderte Gesichtserkennung durch, woraufhin die Cyberkriminellen über 40.000 USD erbeuten konnten. Laut Analysen von Group-IB gibt es Hinweise darauf, dass GoldFactory ihre Aktivitäten über Vietnam und Thailand hinaus ausweitet.

Obwohl von chinesischsprachigen Cyberkriminellen betrieben, arbeitet das Team mit klar getrennten Entwicklungs- und Betriebseinheiten in bestimmten Regionen. Verschiedene Varianten der Schadsoftware wurden bereits in mehreren Ländern gefunden. Zudem erlaubt der Einsatz von KI-gestützter Face-Swapping-Technologie eine skalierbare Erstellung von Deepfakes. Deepfakes und KI ermöglichen es Kriminellen, ihre Operationen für größeren finanziellen Gewinn auszuweiten.

Sharmine Low

ist Malware-Analystin bei Group-IB.