Хакеры крадут сканы Face ID для кражи из мобильных банковских счетов

Исследователи из Group-IB обнаружили новое вредоносное ПО, которое крадет сканы Face ID для создания дипфейков, чтобы получить несанкционированный доступ к банковскому счету жертвы.

Согласно новому отчету Group-IB, это “исключительно редкое явление – новый сложный мобильный троян, специально нацеленный на пользователей iOS.” Этот троян, названный GoldPickaxe.iOS, был связан с угрожающим актором, говорящим на китайском, с кодовым названием GoldFactory, который также отвечает за другие штаммы вредоносного ПО, такие как ‘GoldDigger’, ‘GoldDiggerPlus’ и ‘GoldKefu’.

Новое вредоносное ПО, доступное для Android и iOS, основано на Android-трояне GoldDigger и способно собирать данные распознавания лиц, удостоверения личности и перехватывать SMS.

“Стоит отметить, что GoldPickaxe.iOS является первым iOS-трояном, наблюдаемым Group-IB, который сочетает в себе следующие функции: сбор биометрических данных жертв, удостоверений личности, перехват SMS и проксирование трафика через устройства жертв,” - сказали исследователи в отчете.

“Его Android-собрат имеет даже больше функций, чем его iOS-коллега, из-за большего количества ограничений и закрытой природы iOS.”

Group-IB сообщает, что их аналитики заметили атаки, в первую очередь нацеленные на регион Азиатско-Тихоокеанского региона, в основном на Таиланд и Вьетнам, выдавая себя за местные банки и государственные организации.

GoldPickaxe, который был впервые обнаружен в октябре 2023 года и все еще активен, нацеливается как на пользователей Android, так и на пользователей iOS. Он считается частью кампании GoldFactory, которая началась в июне 2023 года с Gold Digger.

В таких атаках первоначальный контакт с потенциальными жертвами осуществлялся злоумышленниками через фишинговые или смс-атаки в приложении LINE, одном из самых популярных сервисов мгновенных сообщений в регионе, подражая государственным органам, прежде чем отправить поддельные URL-адреса, которые приводили к развертыванию GoldPickaxe на устройствах.

Например, в случае с Android преступники подражали чиновникам из Министерства финансов Таиланда и заманивали жертв в установку мошеннического приложения, выдающего себя за приложение ‘Цифровая Пенсия’ с сайтов, выдающих себя за страницы Google Play Store или поддельные корпоративные сайты во Вьетнаме, которые якобы позволяли жертвам получать свою пенсию в цифровом формате.

Однако в случае с GoldPickaxe для iOS угрожающие актеры первоначально направляли жертв к программному обеспечению Apple TestFlight, которое распределяет бета-программное обеспечение, для установки вредоносного приложения. Если эта техника не срабатывала, они обманывали жертв, заставляя их устанавливать профиль управления мобильными устройствами (MDM), который давал им полный контроль над устройством жертвы.

Как только троян был активирован на мобильном устройстве, вредоносное ПО было готово собирать удостоверения личности и фотографии жертвы, перехватывать входящие SMS-сообщения и проксировать трафик через зараженное устройство жертвы. Кроме того, жертва также получает предложение записать видео в качестве ‘метода подтверждения’ в поддельном приложении.

“GoldPickaxe предлагает жертве записать видео в качестве метода подтверждения в поддельном приложении. Записанное видео затем используется как сырье для создания дипфейков, облегченных услугами искусственного интеллекта по замене лиц,” - сказали исследователи безопасности Андрей Половинкин и Шармин Лоу.

Как только биометрические сканы были захвачены, они использовались для создания AI-дипфейков, чтобы выдавать себя за жертв и затем позволять киберпреступнику обходить проверки распознавания лиц для несанкционированного доступа к счетам жертв.

“Мы предполагаем, что киберпреступники используют свои собственные устройства для входа в банковские счета. Тайская полиция подтвердила это предположение, заявив, что киберпреступники устанавливают банковские приложения на свои собственные устройства Android и используют захваченные сканы лиц, чтобы обойти проверки распознавания лиц для несанкционированного доступа к счетам жертв,” - заключила Group-IB.

“Угрожающие актеры, такие как GoldFactory, имеют четко определенные процессы, операционную зрелость и демонстрируют повышенный уровень изобретательности. Их способность одновременно разрабатывать и распространять варианты вредоносного ПО, адаптированные к различным регионам, показывает тревожный уровень сложности.”

Чтобы оставаться защищенными от вредоносного ПО, Group-IB советует пользователям банков не нажимать на подозрительные ссылки, загружать приложения только с официальных платформ, таких как Google Play Store, Apple App Store и Huawei AppGallery, внимательно проверять запрашиваемые разрешения при установке нового приложения, избегать добавления неизвестных контактов в мессенджер, проверять подлинность банковских коммуникаций и действовать быстро, связавшись с вашим банком, если вы считаете, что стали жертвой мошенничества.