Des hackers volent des scans Face ID pour voler des comptes bancaires mobiles

Les chercheurs de Group-IB ont découvert un nouveau malware qui vole des scans Face ID pour créer des deepfakes afin d’accéder de manière non autorisée au compte bancaire de la victime.

Selon un nouveau rapport de Group-IB, il s’agit d’un “événement exceptionnellement rare - un nouveau Trojan mobile sophistiqué spécifiquement destiné aux utilisateurs d’iOS.” Ce Trojan, surnommé GoldPickaxe.iOS par l’unité de renseignement sur les menaces de Group-IB, a été lié à un acteur de menace parlant chinois codé nommé GoldFactory, qui est responsable d’autres souches de malware telles que ‘GoldDigger’, ‘GoldDiggerPlus’ et ‘GoldKefu’.

Le nouveau malware, qui est disponible pour Android et iOS, est basé sur le Trojan Android GoldDigger et est capable de collecter des données de reconnaissance faciale, des documents d’identité et d’intercepter des SMS.

“Il convient de noter que GoldPickaxe.iOS est le premier Trojan iOS observé par Group-IB qui combine les fonctionnalités suivantes : collecte des données biométriques des victimes, documents d’identité, interception de SMS et proxy de trafic via les appareils des victimes,” ont déclaré les chercheurs dans le rapport.

“Son homologue Android a même plus de fonctionnalités que son équivalent iOS, en raison de plus de restrictions et de la nature fermée d’iOS.”

Group-IB indique que ses analystes ont remarqué que les attaques ciblaient principalement la région Asie-Pacifique, principalement la Thaïlande et le Vietnam, en imitant des banques locales et des organisations gouvernementales.

GoldPickaxe, qui a été découvert pour la première fois en octobre 2023 et est toujours en cours, cible à la fois les utilisateurs Android et iOS. Il est considéré comme faisant partie d’une campagne GoldFactory qui a commencé en juin 2023 avec Gold Digger.

Dans de telles attaques, le premier contact avec les victimes potentielles a été établi par les attaquants via des messages de phishing ou de smishing sur l’application LINE, l’un des services de messagerie instantanée les plus populaires de la région, en imitant les autorités gouvernementales, avant d’envoyer de fausses URL qui ont conduit au déploiement de GoldPickaxe sur les appareils.

Par exemple, dans le cas d’Android, les criminels ont imité des fonctionnaires du ministère des Finances thaïlandais et ont attiré les victimes à installer une application frauduleuse se faisant passer pour une application ‘Pension Numérique’ à partir de sites Web se faisant passer pour des pages du Google Play Store ou de faux sites Web d’entreprise au Vietnam, qui permettraient supposément aux victimes de recevoir leur pension numériquement.

Cependant, dans le cas de GoldPickaxe pour iOS, les acteurs de la menace ont d’abord dirigé les victimes vers le logiciel TestFlight d’Apple, qui distribue des logiciels bêta, pour installer l’application malveillante. Si cette technique échouait, ils les trompaient en installant un profil de gestion des appareils mobiles (MDM), ce qui leur donnerait un contrôle total sur l’appareil de la victime.

Une fois que le Trojan a été activé sur l’appareil mobile, le malware est équipé pour collecter les documents d’identité et les photos de la victime, intercepter les messages SMS entrants et proxy de trafic via l’appareil infecté de la victime. En plus de cela, la victime est également invitée à enregistrer une vidéo comme ‘méthode de confirmation’ dans l’application frauduleuse.

“GoldPickaxe invite la victime à enregistrer une vidéo comme méthode de confirmation dans l’application frauduleuse. La vidéo enregistrée est ensuite utilisée comme matière première pour la création de vidéos deepfake facilitées par des services d’intelligence artificielle de changement de visage,” ont déclaré les chercheurs en sécurité Andrey Polovinkin et Sharmine Low.

Une fois que les scans biométriques ont été capturés, ceux-ci ont ensuite été utilisés pour créer des deepfakes IA afin d’imiter les victimes et permettre à un cybercriminel de contourner les vérifications de reconnaissance faciale pour accéder de manière non autorisée aux comptes des victimes.

“Nous émettons l’hypothèse que les cybercriminels utilisent leurs propres appareils pour se connecter aux comptes bancaires. La police thaïlandaise a confirmé cette hypothèse, déclarant que les cybercriminels installent des applications bancaires sur leurs propres appareils Android et utilisent des scans de visage capturés pour contourner les vérifications de reconnaissance faciale afin d’accéder de manière non autorisée aux comptes des victimes,” a conclu Group-IB.

“Les acteurs de la menace tels que GoldFactory ont des processus bien définis, une maturité opérationnelle et font preuve d’un niveau d’ingéniosité accru. Leur capacité à développer et distribuer simultanément des variantes de malware adaptées à différentes régions montre un niveau de sophistication inquiétant.”

Pour rester protégé contre le malware, Group-IB conseille aux utilisateurs de banque de ne pas cliquer sur des liens suspects, de télécharger des applications uniquement à partir de plateformes officielles telles que le Google Play Store, l’Apple App Store et Huawei AppGallery, de passer en revue attentivement les autorisations demandées lors de l’installation d’une nouvelle application, d’éviter d’ajouter des contacts inconnus à votre messager, de vérifier la validité des communications bancaires et d’agir rapidement en contactant votre banque si vous pensez avoir été fraudé.