I hacker rubano le scansioni di Face ID per derubare dai conti bancari mobili

I ricercatori di Group-IB hanno scoperto un nuovo malware che ruba le scansioni di Face ID per creare deepfake in modo da ottenere accesso bancario non autorizzato al conto bancario della vittima.

Secondo un nuovo rapporto di Group-IB, si tratta di un’”occorrenza eccezionalmente rara - un nuovo Trojan mobile sofisticato specificamente mirato agli utenti iOS.” Questo trojan, soprannominato GoldPickaxe.iOS dall’unità di Threat Intelligence di Group-IB, è stato collegato a un attore di minaccia di lingua cinese con il nome in codice GoldFactory, responsabile di altri ceppi di malware come ‘GoldDigger’, ‘GoldDiggerPlus’ e ‘GoldKefu’.

Il nuovo malware, disponibile per Android e iOS, è basato sul Trojan Android GoldDigger ed è in grado di raccogliere dati di riconoscimento facciale, documenti d’identità e intercettare SMS.

“È importante notare che GoldPickaxe.iOS è il primo Trojan iOS osservato da Group-IB che combina le seguenti funzionalità: raccolta dei dati biometrici delle vittime, documenti d’identità, intercettazione di SMS e proxy del traffico attraverso i dispositivi delle vittime,” hanno dichiarato i ricercatori nel rapporto.

“Il suo gemello Android ha persino più funzionalità rispetto al suo omologo iOS, a causa di maggiori restrizioni e della natura chiusa di iOS.”

Group-IB afferma che i suoi analisti hanno notato attacchi principalmente mirati alla regione Asia-Pacifico, principalmente Thailandia e Vietnam, impersonando banche locali e organizzazioni governative.

GoldPickaxe, scoperto per la prima volta nell’ottobre 2023 e ancora in corso, colpisce sia gli utenti Android che iOS. È considerato parte di una campagna di GoldFactory iniziata nel giugno 2023 con Gold Digger.

In tali attacchi, il primo contatto con le potenziali vittime è stato effettuato dagli aggressori tramite messaggi di phishing o smishing sull’app LINE, uno dei servizi di messaggistica istantanea più popolari della regione, imitandosi come autorità governative, prima di inviare URL falsi che portavano al deployment di GoldPickaxe sui dispositivi.

Ad esempio, nel caso di Android, i criminali hanno imitato funzionari del Ministero delle Finanze thailandese e hanno attirato le vittime a installare un’app fraudolenta che si spacciava per un’app ‘Pensione Digitale’ da siti web che si spacciavano per pagine del Google Play Store o siti aziendali falsi in Vietnam, che avrebbero presumibilmente consentito alle vittime di ricevere la loro pensione digitalmente.

Tuttavia, nel caso di GoldPickaxe per iOS, gli attori della minaccia hanno inizialmente diretto le vittime al software TestFlight di Apple, che distribuisce software beta, per installare l’app malevola. Se questa tecnica falliva, cercavano di ingannarle per installare un profilo di Mobile Device Management (MDM), che avrebbe dato loro il completo controllo sul dispositivo della vittima.

Una volta attivato il trojan sul dispositivo mobile, il malware è in grado di raccogliere i documenti d’identità e le foto della vittima, intercettare i messaggi SMS in arrivo e proxy del traffico attraverso il dispositivo infetto della vittima. Oltre a questo, la vittima viene anche invitata a registrare un video come ‘metodo di conferma’ nell’app falsa.

“GoldPickaxe invita la vittima a registrare un video come metodo di conferma nell’app falsa. Il video registrato viene poi utilizzato come materiale grezzo per la creazione di video deepfake facilitati da servizi di intelligenza artificiale per il face-swapping,” hanno dichiarato i ricercatori di sicurezza Andrey Polovinkin e Sharmine Low.

Una volta catturate le scansioni biometriche, queste venivano poi utilizzate per creare deepfake AI per impersonare le vittime e consentire a un criminale informatico di bypassare i controlli di riconoscimento facciale per effettuare accessi non autorizzati ai conti delle vittime.

“Ipotesizziamo che i criminali informatici stiano utilizzando i propri dispositivi per accedere ai conti bancari. La polizia thailandese ha confermato questa ipotesi, affermando che i criminali informatici stanno installando applicazioni bancarie sui propri dispositivi Android e utilizzando scansioni facciali catturate per bypassare i controlli di riconoscimento facciale per effettuare accessi non autorizzati ai conti delle vittime,” ha concluso Group-IB.

“Gli attori della minaccia come GoldFactory hanno processi ben definiti, maturità operativa e dimostrano un livello di ingegnosità aumentato. La loro capacità di sviluppare e distribuire simultaneamente varianti di malware su misura per diverse regioni mostra un preoccupante livello di sofisticazione.”

Per rimanere protetti dal malware, Group-IB consiglia agli utenti bancari di non cliccare su link sospetti, scaricare applicazioni solo da piattaforme ufficiali come Google Play Store, Apple App Store e Huawei AppGallery, rivedere attentamente i permessi richiesti durante l’installazione di una nuova app, evitare di aggiungere contatti sconosciuti al proprio messenger, verificare la validità delle comunicazioni bancarie e agire prontamente contattando la propria banca se si ritiene di essere stati truffati.