Un nuevo troyano para iOS y Android llamado ‘GoldPickaxe’ emplea un esquema de ingeniería social para engañar a las víctimas para que escaneen sus rostros y documentos de identificación, que se cree que se utilizan para generar deepfakes para acceso bancario no autorizado.
El nuevo malware, detectado por Group-IB, es parte de un conjunto de malware desarrollado por el grupo de amenazas chino conocido como ‘GoldFactory’, que es responsable de otras cepas de malware como ‘GoldDigger’, ‘GoldDiggerPlus’ y ‘GoldKefu’.
Group-IB dice que sus analistas observaron ataques dirigidos principalmente a la región de Asia y el Pacífico, principalmente Tailandia y Vietnam. Sin embargo, las técnicas empleadas podrían ser efectivas a nivel mundial y existe el peligro de que otras cepas de malware las adopten.
Comienza con Ataques de Ingeniería Social
La distribución de Gold Pickaxe comenzó en octubre de 2023 y aún continúa. Se considera parte de una campaña de GoldFactory que comenzó en junio de 2023 con Gold Digger.
Se acerca a las víctimas a través de mensajes de phishing o smishing en la aplicación LINE que están escritos en su idioma local, haciéndose pasar por autoridades o servicios gubernamentales.
Los mensajes intentan engañarlos para que instalen aplicaciones fraudulentas, como una aplicación falsa de ‘Pensión Digital’ alojada en sitios web que se hacen pasar por Google Play.
Para los usuarios de iOS (iPhone), los actores de amenazas inicialmente dirigieron los objetivos a una URL de TestFlight para instalar la aplicación maliciosa, lo que les permitió evitar el proceso normal de revisión de seguridad.
Cuando Apple eliminó la aplicación TestFlight, los atacantes pasaron a atraer a los objetivos para que descargaran un perfil malicioso de administración de dispositivos móviles (MDM) que permite a los actores de amenazas tomar el control de los dispositivos.
Capacidades de Pickaxe
Una vez que el troyano se ha instalado en un dispositivo móvil en forma de una aplicación gubernamental falsa, opera de forma semiautónoma, manipulando funciones en segundo plano, capturando el rostro de la víctima, interceptando SMS entrantes, solicitando documentos de identificación y dirigiendo el tráfico de red a través del dispositivo infectado usando ‘MicroSocks’.
En dispositivos iOS, el malware establece un canal de conexión web para recibir los siguientes comandos:
- Heartbeat: servidor de comando y control (C2) de ping
- init: envía información del dispositivo al C2
- upload_idcard: solicita a la víctima que tome una imagen de su documento de identidad
- face: solicita a la víctima que tome un video de su rostro
- upgrade: muestra un mensaje falso de “dispositivo en uso” para evitar interrupciones
- album: sincronizar la fecha de la biblioteca de fotos (exfiltrar a un depósito en la nube)
- again_upload: reintentar la exfiltración del video del rostro de la víctima al depósito
- destroy: detener el troyano
Los resultados de la ejecución de los comandos anteriores se comunican al C2 a través de solicitudes HTTP.
Group-IB dice que la versión Android del troyano realiza más actividades maliciosas que en iOS debido a las mayores restricciones de seguridad de Apple. Además, en Android, el troyano utiliza más de 20 aplicaciones falsas diferentes como fachada.
Por ejemplo, GoldPickaxe también puede ejecutar comandos en Android para acceder a SMS, navegar por el sistema de archivos, realizar clics en la pantalla, cargar las 100 fotos más recientes del álbum de la víctima, descargar e instalar paquetes adicionales y enviar notificaciones falsas.
La utilización de los rostros de las víctimas para el fraude bancario es una suposición del Grupo IB, corroborada también por la policía tailandesa , basándose en el hecho de que muchos institutos financieros añadieron el año pasado controles biométricos para las transacciones superiores a un determinado importe.
Es fundamental aclarar que si bien GoldPickaxe puede robar imágenes de teléfonos iOS y Android que muestran el rostro de la víctima y engañar a los usuarios para que revelen su rostro en video mediante ingeniería social, el malware no secuestra los datos de Face ID ni explota ninguna vulnerabilidad en los dos móviles. Sistemas operativos.
Los datos biométricos almacenados en los enclaves seguros de los dispositivos todavía están adecuadamente cifrados y completamente aislados de las aplicaciones en ejecución.