Los ataques habilitados para deepfake contra usuarios de Android y iPhone están generando mucho dinero para los delincuentes.
Los ciberdelincuentes se dirigen a los usuarios de iOS con malware que roba escaneos faciales de los usuarios de dispositivos Apple para irrumpir y robar dinero de cuentas bancarias, lo que se cree que es una primicia mundial.
Un grupo de cibercrimen de habla china, apodado GoldFactory por los investigadores de Group-IB, comenzó a distribuir aplicaciones troyanizadas para teléfonos inteligentes en junio de 2023; sin embargo, la última versión de GoldPickaxe existe desde octubre.
GoldPickaxe y GoldPickaxe.iOS apuntan a Android e iOS respectivamente, engañando a los usuarios para que realicen controles de verificación biométrica que en última instancia se utilizan para eludir los mismos controles empleados por aplicaciones bancarias legítimas en Vietnam y Tailandia, el foco geográfico de estos ataques en curso.
Se cree que la versión de iOS está dirigida únicamente a usuarios de Tailandia, haciéndose pasar por la aplicación oficial de pensiones digitales del gobierno tailandés. Dicho esto, algunos piensan que también llegó a Vietnam. Esto se debe a que a principios de este mes se informaron en la región ataques muy similares, que provocaron el robo de decenas de miles de dólares .
“Es de destacar que GoldPickaxe.iOS es el primer troyano iOS observado por Group-IB que combina las siguientes funcionalidades: recopilación de datos biométricos de las víctimas, documentos de identificación, interceptación de SMS y tráfico proxy a través de los dispositivos de las víctimas”, dijeron los investigadores. .
“Su hermano Android tiene incluso más funcionalidades que su homólogo iOS, debido a más restricciones y a la naturaleza cerrada de iOS”.
Si bien el malware de Android es más común, dado que la plataforma permite a los usuarios descargar aplicaciones , el descubrimiento de iOS sorprendió más a los investigadores dados los controles de seguridad más estrictos en la plataforma de Apple.
La infección de Android fue más sencilla que la de la versión de iOS, ya que las aplicaciones maliciosas simplemente estaban disponibles para descargar/descargar a través de una tienda Google Play falsa pero aparentemente legítima.
Los investigadores también descubrieron que la versión de Android tenía muchos más disfraces que la versión de iOS: tomaba la forma de más de 20 organizaciones gubernamentales, financieras y de servicios públicos diferentes en Tailandia, y permitía a los atacantes robar credenciales para todos estos servicios.
¿Cómo llegaron a los teléfonos Apple?
En el caso de iOS, los atacantes tuvieron que ser astutos. Su primer método implicó el abuso de la plataforma TestFlight de Apple, que permite que las aplicaciones se distribuyan como versiones beta antes de su lanzamiento completo en la App Store.
Después de que este método fue bloqueado, los atacantes cambiaron a ingeniería social más sofisticada. Esto implicó influir en los usuarios para que inscribieran sus dispositivos en un programa MDM, lo que permitió a los atacantes enviar aplicaciones malas a los dispositivos de esa manera.
En todos los casos, el contacto inicial con las víctimas lo realizaron los atacantes haciéndose pasar por autoridades gubernamentales en la aplicación de mensajería LINE , una de las más populares de la región.
Por ejemplo, en algunos casos ocurridos en noviembre, los delincuentes se hicieron pasar por funcionarios del Ministerio de Finanzas tailandés y ofrecieron beneficios de pensión a los familiares ancianos de las víctimas.
A partir de ahí, las víctimas fueron diseñadas socialmente para descargar GoldPickaxe a través de diversos medios.
Una vez que se capturaron los escaneos biométricos, los atacantes utilizaron estos escaneos, junto con software deepfake, para generar modelos del rostro de la víctima.
Los atacantes descargarían la aplicación bancaria objetivo en sus propios dispositivos y utilizarían los modelos deepfake, junto con los documentos de identidad robados y los mensajes SMS interceptados, para irrumpir de forma remota en los bancos de las víctimas.
La aplicación de la tecnología deepfake ha sido en gran medida una amenaza hipotética para los profesionales de la seguridad de la información durante años, pero GoldPickaxe sirve como otro recordatorio de que la tecnología ahora está lo suficientemente madura para su uso en ataques del mundo real y probablemente se abusará de ella en los próximos años .
La biometría facial solo fue obligatoria en Tailandia el año pasado , y los planes se anunciaron por primera vez en marzo con una fecha de aplicación fijada para julio. Vietnam está preparado para imponer controles similares en abril de este año.
