Nuevo Malware Gold Pickaxe de Android e iOS es Capaz de Robar tu Cara

por
Noticias sobre ciberseguridad, hackeos, hacking y malware

Un nuevo troyano para iOS y Android llamado ‘GoldPickaxe’ emplea un esquema de ingeniería social para engañar a las víctimas para que escaneen sus rostros y documentos de identificación, que se cree que se utilizan para generar deepfakes para acceso bancario no autorizado.

El nuevo malware, detectado por Group-IB, es parte de un conjunto de malware desarrollado por el grupo de amenazas chino conocido como ‘GoldFactory’, que es responsable de otras cepas de malware como ‘GoldDigger’, ‘GoldDiggerPlus’ y ‘GoldKefu’.

Group-IB dice que sus analistas observaron ataques dirigidos principalmente a la región de Asia y el Pacífico, principalmente Tailandia y Vietnam. Sin embargo, las técnicas empleadas podrían ser efectivas a nivel mundial y existe el peligro de que otras cepas de malware las adopten.

Comienza con Ataques de Ingeniería Social

La distribución de Gold Pickaxe comenzó en octubre de 2023 y aún continúa. Se considera parte de una campaña de GoldFactory que comenzó en junio de 2023 con Gold Digger.

Se acerca a las víctimas a través de mensajes de phishing o smishing en la aplicación LINE que están escritos en su idioma local, haciéndose pasar por autoridades o servicios gubernamentales.

Los mensajes intentan engañarlos para que instalen aplicaciones fraudulentas, como una aplicación falsa de ‘Pensión Digital’ alojada en sitios web que se hacen pasar por Google Play.

Para los usuarios de iOS (iPhone), los actores de amenazas inicialmente dirigieron los objetivos a una URL de TestFlight para instalar la aplicación maliciosa, lo que les permitió evitar el proceso normal de revisión de seguridad.

Cuando Apple eliminó la aplicación TestFlight, los atacantes pasaron a atraer a los objetivos para que descargaran un perfil malicioso de administración de dispositivos móviles (MDM) que permite a los actores de amenazas tomar el control de los dispositivos.

Capacidades de Pickaxe

Una vez que el troyano se ha instalado en un dispositivo móvil en forma de una aplicación gubernamental falsa, opera de forma semiautónoma, manipulando funciones en segundo plano, capturando el rostro de la víctima, interceptando SMS entrantes, solicitando documentos de identificación y dirigiendo el tráfico de red a través del dispositivo infectado usando ‘MicroSocks’.

En dispositivos iOS, el malware establece un canal de conexión web para recibir los siguientes comandos:

  • Heartbeat: servidor de comando y control (C2) de ping
  • init: envía información del dispositivo al C2
  • upload_idcard: solicita a la víctima que tome una imagen de su documento de identidad
  • face: solicita a la víctima que tome un video de su rostro
  • upgrade: muestra un mensaje falso de “dispositivo en uso” para evitar interrupciones
  • album: sincronizar la fecha de la biblioteca de fotos (exfiltrar a un depósito en la nube)
  • again_upload: reintentar la exfiltración del video del rostro de la víctima al depósito
  • destroy: detener el troyano

Los resultados de la ejecución de los comandos anteriores se comunican al C2 a través de solicitudes HTTP.

Group-IB dice que la versión Android del troyano realiza más actividades maliciosas que en iOS debido a las mayores restricciones de seguridad de Apple. Además, en Android, el troyano utiliza más de 20 aplicaciones falsas diferentes como fachada.

Por ejemplo, GoldPickaxe también puede ejecutar comandos en Android para acceder a SMS, navegar por el sistema de archivos, realizar clics en la pantalla, cargar las 100 fotos más recientes del álbum de la víctima, descargar e instalar paquetes adicionales y enviar notificaciones falsas.

La utilización de los rostros de las víctimas para el fraude bancario es una suposición del Grupo IB, corroborada también por la policía tailandesa , basándose en el hecho de que muchos institutos financieros añadieron el año pasado controles biométricos para las transacciones superiores a un determinado importe.

Es fundamental aclarar que si bien GoldPickaxe puede robar imágenes de teléfonos iOS y Android que muestran el rostro de la víctima y engañar a los usuarios para que revelen su rostro en video mediante ingeniería social, el malware no secuestra los datos de Face ID ni explota ninguna vulnerabilidad en los dos móviles. Sistemas operativos.

Los datos biométricos almacenados en los enclaves seguros de los dispositivos todavía están adecuadamente cifrados y completamente aislados de las aplicaciones en ejecución.

Relacionado

5 Pasos para Mejorar la Seguridad en Microsoft Teams

En un mundo donde la comunicación digital es fundamental para la productividad empresarial, las aplicaciones de chat SaaS como Microsoft Teams, se han convertido en una herramienta indispensable. Sin embargo, con esta dependencia creciente también vienen riesgos significativos de seguridad cibernética que a menudo son subestimados. En un reciente ataque que tuvo lugar en Microsoft Teams, los atacantes aprovecharon la plataforma para enviar más de 1.000 ¡SEGUIR LEYENDO!

Abusan de la Nerramienta “Comando no Encontrado” en Ubuntu para Propagar Malware

Una falla lógica entre el sistema de sugerencia de paquetes de 'comando no encontrado' de Ubuntu y el repositorio de paquetes instantáneos podría permitir a los atacantes promocionar paquetes de Linux maliciosos entre usuarios desprevenidos. El problema surge de la capacidad de la utilidad para sugerir paquetes instantáneos para la instalación cuando faltan sin un mecanismo de validación para garantizar que los paquetes sean auténticos y ¡SEGUIR LEYENDO!

Malware de Android roba datos financieros de 378 aplicaciones de bancos y billeteras digitales

Los creadores del malware móvil BlackRock han aparecido con un nuevo troyano bancario de Android denominado ERMAC con sus raíces en el malicioso malware Cerberus. "El nuevo troyano tiene campañas de distribución activas y apunta a 378 aplicaciones bancarias y de billeteras", según el CEO de ThreatFabric. Se cree que las primeras campañas que involucran a ERMAC comenzaron a finales de Agosto. Desde entonces, los ataques ¡SEGUIR LEYENDO!

ClamAV: El antivirus de código abierto para detectar troyanos, virus, malware, etc

ClamAV es un motor antivirus de código abierto para detectar troyanos, virus, malware y otras amenazas maliciosas. ClamAV es un código abierto (GPL) motor anti-virus utilizado en una variedad de situaciones, incluyendo análisis de correo electrónico, la exploración web, y la seguridad de punto final. ClamAV proporciona una serie de utilidades que incluyen un demonio multiproceso flexible y escalable, un escáner de línea de comandos y ¡SEGUIR LEYENDO!

Anuncios de Facebook Impulsa el Nuevo Malware de Robo de Contraseñas Ov3r_Stealer

Un nuevo malware para robar contraseñas llamado Ov3r_Stealer se está propagando a través de anuncios de trabajo falsos en Facebook, con el objetivo de robar credenciales de cuentas y criptomonedas. Los anuncios de trabajo falsos son para puestos gerenciales y llevan a los usuarios a una URL de Discord donde un script de PowerShell descarga la carga útil del malware desde un repositorio de GitHub. Los ¡SEGUIR LEYENDO!

Aplicaciones de Android Plagadas de Malware detectadas en Google Play

Un troyano de acceso remoto (RAT) de Android llamado VajraSpy fue encontrado en 12 aplicaciones maliciosas, seis de las cuales estuvieron disponibles en Google Play desde el 1 de abril de 2021 hasta el 10 de septiembre de 2023. Descubrimiento del malware El investigador de ESET, Lukas Stefanko, identificó 12 aplicaciones maliciosas para Android que contenían el mismo código RAT VajraSpy. Sorprendentemente, seis de estas aplicaciones ¡SEGUIR LEYENDO!

Aplicaciones de Android e iOS con 15 millones de instalaciones han extorsionado a infinidad de solicitantes de préstamos

Más de 280 aplicaciones de Android e iOS en Google Play y las tiendas de aplicaciones de Apple atraparon a los usuarios en esquemas de préstamos con términos engañosos y emplearon varios métodos para extorsionar. https://ciberninjas.com/malware-extension-chrome-venomsoftx/ Para alimentar los intentos de extorsión de la operación, las aplicaciones robaban cantidades excesivas de datos de teléfonos móviles que normalmente no se requieren para ofrecer préstamos. En un nuevo ¡SEGUIR LEYENDO!