Un nuevo troyano para iOS y Android llamado 'GoldPickaxe' emplea un esquema de ingeniería social para engañar a las víctimas para que escaneen sus rostros y documentos de identidad, que se cree que se utilizan para generar deepfakes para el acceso bancario no autorizado.
El nuevo malware, detectado por Group-IB, forma parte de una suite de malware desarrollada por el grupo de amenazas chino conocido como "GoldFactory", responsable de otros tipos de malware como "GoldDigger", "GoldDiggerPlus" y "GoldKefu".
Group-IB afirma que sus analistas observaron ataques dirigidos principalmente a la región Asia-Pacífico, sobre todo Tailandia y Vietnam. Sin embargo, las técnicas empleadas podrían ser eficaces en todo el mundo, y existe el peligro de que sean adoptadas por otras cepas de malware.
Comienza con ataques de ingeniería social
La distribución de Gold Pickaxe comenzó en octubre de 2023 y aún continúa. Se considera parte de una campaña de GoldFactory que comenzó en junio de 2023 con Gold Digger.
Las víctimas son abordadas a través de mensajes de phishing o smishing en la aplicación LINE que están escritos en su idioma local, haciéndose pasar por autoridades o servicios gubernamentales.
Los mensajes intentan engañarlas para que instalen aplicaciones fraudulentas, como una falsa aplicación "Digital Pension" alojada en sitios web que suplantan a Google Play.
El uso de los rostros de las víctimas para el fraude bancario es una suposición de Group-IB, corroborada también por la policía tailandesa, basada en el hecho de que muchos institutos financieros añadieron controles biométricos el año pasado para las transacciones superiores a un determinado importe.
Es esencial aclarar que, si bien GoldPickaxe puede robar imágenes de teléfonos iOS y Android que muestren el rostro de la víctima y engañar a los usuarios para que revelen su cara en un vídeo mediante ingeniería social, el malware no secuestra los datos de Face ID ni explota ninguna vulnerabilidad en los dos sistemas operativos móviles.
Los datos biométricos almacenados en los enclaves seguros de los dispositivos siguen estando debidamente cifrados y completamente aislados de las aplicaciones en ejecución.
