Hackers Roubaram Escaneamentos do Face ID Para Roubar Contas Bancárias Móveis

Pesquisadores da Group-IB descobriram um novo malware que rouba escaneamentos do Face ID para criar deepfakes, permitindo o acesso não autorizado à conta bancária da vítima.

De acordo com um novo relatório da Group-IB, isso é uma “ocorrência excepcionalmente rara - um novo Trojan móvel sofisticado especificamente direcionado a usuários de iOS.” Este trojan, denominado GoldPickaxe.iOS pela unidade de Inteligência de Ameaças da Group-IB, foi vinculado a um ator de ameaça de língua chinesa codinome GoldFactory, que é responsável por outras variantes de malware, como ‘GoldDigger’, ‘GoldDiggerPlus’ e ‘GoldKefu’.

O novo malware, que está disponível para Android e iOS, é baseado no Trojan Android GoldDigger e é capaz de coletar dados de reconhecimento facial, documentos de identidade e interceptar SMS.

“É importante notar que o GoldPickaxe.iOS é o primeiro Trojan de iOS observado pela Group-IB que combina as seguintes funcionalidades: coletar dados biométricos das vítimas, documentos de identidade, interceptar SMS e fazer proxy do tráfego através dos dispositivos das vítimas,” disseram os pesquisadores no relatório.

“Seu irmão Android tem ainda mais funcionalidades do que seu equivalente iOS, devido a mais restrições e à natureza fechada do iOS.”

A Group-IB afirma que seus analistas notaram ataques direcionados principalmente à região da Ásia-Pacífico, principalmente na Tailândia e no Vietnã, imitando bancos locais e organizações governamentais.

O GoldPickaxe, que foi descoberto pela primeira vez em outubro de 2023 e ainda está em andamento, visa usuários de Android e iOS. É considerado parte de uma campanha GoldFactory que começou em junho de 2023 com o Gold Digger.

Em tais ataques, o contato inicial com as potenciais vítimas foi feito pelos atacantes através de mensagens de phishing ou smishing no aplicativo LINE, um dos serviços de mensagens instantâneas mais populares da região, imitando autoridades governamentais, antes de enviar URLs falsas que levaram à implantação do GoldPickaxe nos dispositivos.

Por exemplo, no caso do Android, os criminosos imitaram oficiais do Ministério da Fazenda da Tailândia e atraíram as vítimas a instalar um aplicativo fraudulento se passando por um aplicativo ‘Pensão Digital’ de sites que se passavam por páginas da Google Play Store ou sites corporativos falsos no Vietnã, que supostamente permitiriam que as vítimas recebessem sua pensão digitalmente.

No entanto, no caso do GoldPickaxe para iOS, os atores de ameaça inicialmente direcionaram as vítimas para o software TestFlight da Apple, que distribui software beta, para instalar o aplicativo malicioso. Se essa técnica falhasse, eles as enganariam para instalar um perfil de Gerenciamento de Dispositivos Móveis (MDM), que lhes daria controle total sobre o dispositivo da vítima.

Uma vez que o trojan foi ativado no dispositivo móvel, o malware está equipado para coletar documentos de identidade e fotos da vítima, interceptar mensagens SMS recebidas e fazer proxy do tráfego através do dispositivo infectado da vítima. Além disso, a vítima também é solicitada a gravar um vídeo como um ‘método de confirmação’ no aplicativo falso.

“O GoldPickaxe solicita à vítima que grave um vídeo como um método de confirmação no aplicativo falso. O vídeo gravado é então usado como material bruto para a criação de vídeos deepfake facilitados por serviços de inteligência artificial de troca de rosto,” disseram os pesquisadores de segurança Andrey Polovinkin e Sharmine Low.

Uma vez que os escaneamentos biométricos foram capturados, isso foi usado para criar deepfakes de IA para imitar as vítimas e, em seguida, permitir que um cibercriminoso contornasse as verificações de reconhecimento facial para realizar acesso não autorizado às contas das vítimas.

“Hipotetizamos que os cibercriminosos estão usando seus próprios dispositivos para fazer login nas contas bancárias. A polícia tailandesa confirmou essa suposição, afirmando que os cibercriminosos estão instalando aplicativos bancários em seus próprios dispositivos Android e usando escaneamentos faciais capturados para contornar as verificações de reconhecimento facial e realizar acesso não autorizado às contas das vítimas,” concluiu a Group-IB.

“Atores de ameaça como a GoldFactory têm processos bem definidos, maturidade operacional e demonstram um nível aumentado de engenhosidade. Sua capacidade de desenvolver e distribuir simultaneamente variantes de malware adaptadas a diferentes regiões mostra um nível preocupante de sofisticação.”

Para se proteger contra o malware, a Group-IB aconselha os usuários de bancos a não clicarem em links suspeitos, baixar aplicativos apenas de plataformas oficiais como a Google Play Store, Apple App Store e Huawei AppGallery, revisar cuidadosamente as permissões solicitadas ao instalar um novo aplicativo, evitar adicionar contatos desconhecidos ao seu mensageiro, verificar a validade das comunicações bancárias e agir rapidamente entrando em contato com seu banco se acreditar que foi fraudado.