Es tal el grado de popularidad de iPhone, que los ciberdelincuentes han decidido ahora aunar sus esfuerzos en desarrollar un malware altamente efectivo que permita sustraer los escaneos faciales de los usuarios de Apple y iOS. De este modo, lograrán entrar plenamente en sus dispositivos y robarle sus credenciales, con el riesgo que ello supone, pues tendrán acceso ilimitado al dinero de sus cuentas bancarias.
Según investigaciones recientes de Group-IB, todo apunta a que se trata del grupo chino GoldFactory. Éste grupo se hizo popular en junio de 2023 al empezar a distribuir aplicaciones troyanizadas para smartphones. La última versión del nuevo malware, apodado como ‘GoldPickaxe’, emplea un esquema de ingeniería social para engañar a las víctimas para que escaneen sus rostros y documentos de verificación biométrica. Una vez esto, generan deepfakes para acceso bancario no autorizado.
La llegada a las víctimas se realiza mediante mensajes de phishing o smishing en la aplicación LINE, escritos en su idioma local. De este modo, los engañan para que instalen aplicaciones fraudulentas.
En el caso de los usuarios de iOS, los ciberdelincuentes dirigieron sus objetivos hacia una URL de TestFlight para lograr instalar la aplicación de malware y evitar así el proceso normal de revisión de seguridad. Apple logró eliminar la aplicación TestFlight, pero los atacantes lograron que los usuarios descargasen un perfil malicioso de administración de dispositivos móviles (MDM), controlando al 100% sus dispositivos.
¿Android o iOS?
Aunque GoldPickaxe posee más funcionalidades que GoldPickaxe.iOS, la versión para iPhone se convierte en el primer troyano de estas características, capaz de combinar la recopilación de datos biométricos con documentos de identificación, interceptación de SMS y tráfico proxy mediante los propios dispositivos de las víctimas. Llama la atención el potencial de GoldPickaxe.iOS para superar las restricciones y la naturaleza cerrada de iOS.
El malware de Android es más común, ya que los usuarios descargan aplicaciones y es más fácil crear una tienda Google Play falsa, pero el caso de iOS es más llamativo debido a los controles de seguridad estrictos con los que cuenta Apple. De hecho, la versión Android tiene muchas más variantes que la de iOS, que se basó en imitar el aspecto de hasta una veintena de organizaciones gubernamentales, financieras y de servicios públicos de Tailandia para robar datos credenciales.
¿Qué mercado es el principal afectado?
GoldPickaxe y GoldPickaxe.iOS operan eludiendo los controles de aplicaciones bancarias legítimas en Vietnam y Tailandia, principal foco de estos ataques. El objetivo de los ciberdelincuentes es hacerse pasar por la aplicación oficial de pensiones digitales del gobierno tailandés para sustraer los datos bancarios y, por consiguiente, una importante suma de dinero de los afectados. Todo ello ha provocado el robo de decenas de miles de dólares al generar modelos del rostro de la víctima.
Un futuro incierto
La biometría fácil se hizo obligatoria en Tailandia durante 2023, mientras que a Vietnam llegará en abril de 2024. Si bien es cierto, desde julio de 2023 todas las aplicaciones bancarias tailandesas cumplieron con la nueva iniciativa y reemplazaron las contraseñas de un solo uso con biometría facial, reduciendo la amenaza de fraude financiero en la región. En este caso, se afectaba a transacciones superiores a los 50.000 BAT (unos 1.400 dólares).
El futuro de GoldFactory y su repercusión es incierto, pues puede desde suplantar la identidad y registrar las teclas de accesibilidad, a crear alertas bancarias falsas, pantallas de llamadas falsas y recopilar datos de reconocimiento facial. Todo ello, con herramientas altamente eficaces.
La evolución del malware Gold
GoldFactory, autor de cepas de malware anteriores como ‘GoldDigger’, ‘GoldDiggerPlus’ y ‘GoldKefu’, podría llegar a hacer extensivas otras cepas de malware de características similares al resto del mundo.
De hecho, GoldDigger (detectado en junio de 2023) actuaba como troyano bancario tradicional de Android, compartiendo con GoldPickaxe el código. Así pues, recopilan credenciales bancarias, roban información personal y documentos de identidad. En el caso de GoldDiggerPlus, fue incorporando nuevas funcionalidades adicionales más sofisticadas con el troyano base GoldDigger, incluyendo APK GoldKefu, que se desarrolla junto a GoldDiggerPlus.
Tanto GoldDiggerPlus como GoldKefu se basan en webfakes capaces de recopilar credenciales y de realizar llamadas fraudulentas dirigidas. De este modo, puede autenticarse en el servidor C2, realizar clics automatizados al solicitar permisos, grabar la pantalla y transmitir el Protocolo de mensajería en tiempo real (RTMP). A diferencia de GoldDigger, tiene un enfoque más modular y controlado. Y es que GoldKefu integra Agor SDK, permitiendo llamadas de video y voz en tiempo real y permitiendo a los atacantes hacerse pasar por representantes legítimos.
Por tanto, la versión de Android de GoldPickaxe más reciente podría ser una versión actualizada de GoldDiggerPlus, que a su vez incluye APK GoldKefu. La única diferencia es que introducen una nueva categoría de familias de malware, especializada en recopilar datos de reconocimiento facial.
La mejor defensa es un buen ataque
Ante la evolución de estas tácticas de los ciberdelincuentes con el mayor grado de especialización del malware GoldFactory, solo queda establecer un enfoque proactivo y multifacético de ciberseguridad, además de promover la educación de los usuarios para detectar a tiempo la aparición de nuevos troyanos y otras amenazas.
