Los hackers roban escaneos de Face ID para saquear cuentas bancarias móviles

Los investigadores de Group-IB han descubierto un nuevo malware que roba escaneos de Face ID para crear deepfakes y así obtener acceso no autorizado a la cuenta bancaria de la víctima.

Según un nuevo informe de Group-IB, este es un “ocurrencia excepcionalmente rara: un nuevo troyano móvil sofisticado específicamente dirigido a usuarios de iOS.” Este troyano, denominado GoldPickaxe.iOS por la unidad de Inteligencia de Amenazas de Group-IB, ha sido vinculado a un actor de amenazas de habla china con el nombre en clave GoldFactory, que es responsable de otras cepas de malware como ‘GoldDigger’, ‘GoldDiggerPlus’ y ‘GoldKefu.’

El nuevo malware, que está disponible para Android e iOS, se basa en el troyano GoldDigger para Android y es capaz de recopilar datos de reconocimiento facial, documentos de identidad e interceptar SMS.

“Es notable que GoldPickaxe.iOS es el primer troyano de iOS observado por Group-IB que combina las siguientes funcionalidades: recopilar datos biométricos de las víctimas, documentos de identificación, interceptar SMS y hacer proxy del tráfico a través de los dispositivos de las víctimas,” dijeron los investigadores en el informe.

“Su hermano de Android tiene incluso más funcionalidades que su contraparte de iOS, debido a más restricciones y la naturaleza cerrada de iOS.”

Group-IB dice que sus analistas notaron ataques dirigidos principalmente a la región de Asia-Pacífico, principalmente Tailandia y Vietnam, suplantando a bancos locales y organizaciones gubernamentales.

GoldPickaxe, que fue descubierto por primera vez en octubre de 2023 y aún está en curso, apunta tanto a usuarios de Android como de iOS. Se considera parte de una campaña de GoldFactory que comenzó en junio de 2023 con Gold Digger.

En tales ataques, el contacto inicial con las posibles víctimas fue realizado por los atacantes a través de mensajes de phishing o smishing en la aplicación LINE, uno de los servicios de mensajería instantánea más populares de la región, imitando a autoridades gubernamentales, antes de enviar URLs falsas que conducían al despliegue de GoldPickaxe en los dispositivos.

Por ejemplo, en el caso de Android, los criminales imitaron a funcionarios del Ministerio de Finanzas de Tailandia y engañaron a las víctimas para que instalaran una aplicación fraudulenta que se hacía pasar por una aplicación de ‘Pensión Digital’ desde sitios web que se hacían pasar por páginas de Google Play Store o sitios web corporativos falsos en Vietnam, que supuestamente permitirían a las víctimas recibir su pensión digitalmente.

Sin embargo, en el caso de GoldPickaxe para iOS, los actores de amenazas inicialmente dirigieron a las víctimas al software TestFlight de Apple, que distribuye software beta, para instalar la aplicación maliciosa. Si esta técnica fallaba, los engañaban para que instalaran un perfil de Gestión de Dispositivos Móviles (MDM), que les daría control total sobre el dispositivo de la víctima.

Una vez que el troyano ha sido activado en el dispositivo móvil, el malware está equipado para recopilar los documentos de identificación y fotos de la víctima, interceptar mensajes SMS entrantes y hacer proxy del tráfico a través del dispositivo infectado de la víctima. Además de esto, se le pide a la víctima que grabe un video como un ‘método de confirmación’ en la aplicación falsa.

“GoldPickaxe le pide a la víctima que grabe un video como un método de confirmación en la aplicación falsa. El video grabado se utiliza luego como material bruto para la creación de videos deepfake facilitados por servicios de inteligencia artificial de intercambio de rostros,” dijeron los investigadores de seguridad Andrey Polovinkin y Sharmine Low.

Una vez que se capturaron los escaneos biométricos, esto se utilizó para crear deepfakes de IA para suplantar a las víctimas y luego permitir que un cibercriminal eludiera los controles de reconocimiento facial para realizar accesos no autorizados a las cuentas de las víctimas.

“Hipotetizamos que los cibercriminales están usando sus propios dispositivos para iniciar sesión en cuentas bancarias. La policía tailandesa ha confirmado esta suposición, afirmando que los cibercriminales están instalando aplicaciones bancarias en sus propios dispositivos Android y utilizando escaneos faciales capturados para eludir los controles de reconocimiento facial y realizar accesos no autorizados a las cuentas de las víctimas,” concluyó Group-IB.

“Los actores de amenazas como GoldFactory tienen procesos bien definidos, madurez operativa y demuestran un nivel de ingenio incrementado. Su capacidad para desarrollar y distribuir simultáneamente variantes de malware adaptadas a diferentes regiones muestra un preocupante nivel de sofisticación.”

Para mantenerse protegido del malware, Group-IB aconseja a los usuarios bancarios que no hagan clic en enlaces sospechosos, descarguen aplicaciones solo de plataformas oficiales como Google Play Store, Apple App Store y Huawei AppGallery, revisen cuidadosamente los permisos solicitados al instalar una nueva aplicación, eviten agregar contactos desconocidos a su mensajería, verifiquen la validez de las comunicaciones bancarias y actúen rápidamente contactando a su banco si creen que han sido defraudados.