Hacker stehlen Face ID-Scans, um von mobilen Bankkonten zu stehlen

Forscher von Group-IB haben eine neue Malware entdeckt, die Face ID-Scans stiehlt, um Deepfakes zu erstellen, damit sie unbefugten Zugriff auf das Bankkonto des Opfers erlangen kann.

Laut einem neuen Bericht von Group-IB handelt es sich um ein “außergewöhnlich seltenes Vorkommen – einen neuen, raffinierten mobilen Trojaner, der speziell auf iOS-Nutzer abzielt.” Dieser Trojaner, der von der Threat Intelligence-Einheit von Group-IB als GoldPickaxe.iOS bezeichnet wird, wurde mit einem chinesischsprachigen Bedrohungsakteur mit dem Codenamen GoldFactory in Verbindung gebracht, der für andere Malware-Stämme wie ‘GoldDigger’, ‘GoldDiggerPlus’ und ‘GoldKefu’ verantwortlich ist.

Die neue Malware, die für Android und iOS verfügbar ist, basiert auf dem GoldDigger Android Trojaner und ist in der Lage, biometrische Daten, Identitätsdokumente zu sammeln und SMS abzufangen.

“Es ist bemerkenswert, dass GoldPickaxe.iOS der erste iOS-Trojaner ist, der von Group-IB beobachtet wurde und die folgenden Funktionen kombiniert: das Sammeln biometrischer Daten der Opfer, ID-Dokumente, das Abfangen von SMS und das Proxying von Datenverkehr über die Geräte der Opfer,” sagten die Forscher in dem Bericht.

“Sein Android-Geschwister hat sogar mehr Funktionen als sein iOS-Pendant, aufgrund von mehr Einschränkungen und der geschlossenen Natur von iOS.”

Group-IB berichtet, dass ihre Analysten Angriffe festgestellt haben, die hauptsächlich auf die Region Asien-Pazifik abzielen, insbesondere Thailand und Vietnam, indem sie sich als lokale Banken und Regierungsorganisationen ausgeben.

GoldPickaxe, das erstmals im Oktober 2023 entdeckt wurde und immer noch aktiv ist, zielt sowohl auf Android- als auch auf iOS-Nutzer ab. Es wird als Teil einer GoldFactory-Kampagne betrachtet, die im Juni 2023 mit Gold Digger begann.

Bei solchen Angriffen wurde der erste Kontakt mit potenziellen Opfern von den Angreifern über Phishing- oder Smishing-Nachrichten in der LINE-App, einem der beliebtesten Instant-Messaging-Dienste der Region, hergestellt, indem sie sich als Regierungsbehörden ausgaben, bevor sie gefälschte URLs sendeten, die zur Bereitstellung von GoldPickaxe auf den Geräten führten.

Zum Beispiel gaben sich Kriminelle im Fall von Android als Beamte des thailändischen Finanzministeriums aus und verleiteten die Opfer dazu, eine betrügerische Anwendung zu installieren, die sich als ‘Digitale Rente’-App von Webseiten ausgab, die sich als Google Play Store-Seiten oder gefälschte Unternehmenswebseiten in Vietnam ausgaben, die angeblich den Opfern ermöglichen sollte, ihre Rente digital zu erhalten.

Im Fall von GoldPickaxe für iOS leiteten die Bedrohungsakteure die Opfer zunächst zur TestFlight-Software von Apple, die Beta-Software verteilt, um die bösartige App zu installieren. Wenn diese Technik fehlschlug, täuschten sie die Opfer, indem sie sie dazu brachten, ein Mobile Device Management (MDM)-Profil zu installieren, das ihnen die vollständige Kontrolle über das Gerät des Opfers gab.

Sobald der Trojaner auf dem Mobilgerät aktiviert wurde, ist die Malware in der Lage, die ID-Dokumente und Fotos des Opfers zu sammeln, eingehende SMS-Nachrichten abzufangen und den Datenverkehr über das infizierte Gerät des Opfers zu proxyen. Darüber hinaus wird das Opfer auch aufgefordert, ein Video als ‘Bestätigungsmethode’ in der gefälschten App aufzunehmen.

“GoldPickaxe fordert das Opfer auf, ein Video als Bestätigungsmethode in der gefälschten Anwendung aufzunehmen. Das aufgezeichnete Video wird dann als Rohmaterial für die Erstellung von Deepfake-Videos verwendet, die durch Gesichtstausch-KI-Dienste ermöglicht werden,” sagten die Sicherheitsforscher Andrey Polovinkin und Sharmine Low.

Sobald die biometrischen Scans erfasst wurden, wurden diese dann verwendet, um KI-Deepfakes zu erstellen, um die Opfer zu imitieren und einem Cyberkriminellen zu ermöglichen, Gesichtserkennungskontrollen zu umgehen, um unbefugten Zugriff auf die Konten der Opfer zu erhalten.

“Wir vermuten, dass die Cyberkriminellen ihre eigenen Geräte verwenden, um sich in Bankkonten einzuloggen. Die thailändische Polizei hat diese Annahme bestätigt und erklärt, dass Cyberkriminelle Bankanwendungen auf ihren eigenen Android-Geräten installieren und erfasste Gesichtsscans verwenden, um Gesichtserkennungskontrollen zu umgehen und unbefugten Zugriff auf die Konten der Opfer zu erhalten,” schloss Group-IB.

“Bedrohungsakteure wie GoldFactory haben gut definierte Prozesse, operationale Reife und zeigen ein erhöhtes Maß an Einfallsreichtum. Ihre Fähigkeit, gleichzeitig Malware-Varianten zu entwickeln und zu verteilen, die auf verschiedene Regionen zugeschnitten sind, zeigt ein besorgniserregendes Maß an Raffinesse.”

Um sich vor der Malware zu schützen, rät Group-IB Banknutzern, keine verdächtigen Links anzuklicken, Anwendungen nur von offiziellen Plattformen wie dem Google Play Store, Apple App Store und Huawei AppGallery herunterzuladen, die angeforderten Berechtigungen beim Installieren einer neuen App sorgfältig zu überprüfen, unbekannte Kontakte in ihrem Messenger zu vermeiden, die Gültigkeit von Bankkommunikationen zu überprüfen und umgehend zu handeln, indem sie ihre Bank kontaktieren, wenn sie glauben, betrogen worden zu sein.