Um novo trojan para iOS e Android chamado ‘GoldPickaxe’ emprega um esquema de engenharia social para induzir as vítimas a digitalizarem seus rostos e documentos de identificação, que se acredita serem usados para gerar deepfakes para acesso bancário não autorizado.
O novo malware, detectado pelo Group-IB, faz parte de um conjunto de malware desenvolvido pelo grupo de ameaças chinês conhecido como ‘GoldFactory’, que é responsável por outras cepas de malware, como ‘GoldDigger’, ‘GoldDiggerPlus’ e ‘GoldKefu’.
O Group-IB afirma que os seus analistas observaram ataques visando principalmente a região Ásia-Pacífico, principalmente a Tailândia e o Vietname. No entanto, as técnicas empregadas podem ser eficazes globalmente e existe o perigo de serem adotadas por outras variedades de malware.
Começa com ataques de engenharia social
A distribuição do ‘GoldPickaxe’ começou em outubro de 2023 e ainda está em andamento. É considerado parte de uma campanha GoldFactory que começou em junho de 2023 com Gold Digger.
As vítimas são abordadas por meio de mensagens de phishing ou smishing no aplicativo LINE, escritas em seu idioma local, representando autoridades ou serviços governamentais. As mensagens tentam induzi-los a instalar aplicativos fraudulentos, como um aplicativo falso de ‘Pensão Digital’ hospedado em sites que se fazem passar pelo Google Play.
Para usuários de iOS (iPhone), os agentes da ameaça inicialmente direcionaram os alvos para uma URL TestFlight para instalar o aplicativo malicioso, permitindo-lhes contornar o processo normal de revisão de segurança. Quando a Apple removeu o aplicativo TestFlight, os invasores passaram a atrair os alvos para que baixassem um perfil malicioso de gerenciamento de dispositivos móveis (MDM) que permite que os agentes da ameaça assumam o controle dos dispositivos.
Capacidades do GoldPickaxe
Depois que o trojan é instalado em um dispositivo móvel na forma de um aplicativo governamental falso, ele opera de forma semi-autônoma, manipulando funções em segundo plano, capturando o rosto da vítima, interceptando SMS recebidos, solicitando documentos de identificação e fazendo proxy do tráfego de rede através do dispositivo infectado usando ‘MicroSocks’.
Em dispositivos iOS, o malware estabelece um canal de soquete web para receber os seguintes comandos:
- Heartbeat: servidor de comando e controle ping (C2)
- init: envia informações do dispositivo para o C2
- upload_idcard: solicita que a vítima tire uma foto de sua carteira de identidade
- face: solicite à vítima que grave um vídeo de seu rosto
- atualização: exibe mensagem falsa de “dispositivo em uso” para evitar interrupções
- álbum: sincronizar a data da biblioteca de fotos (exfiltrar para um balde de nuvem)
- Again_upload: tente novamente a exfiltração do vídeo do rosto da vítima para o balde
- destruir: pare o trojan
Os resultados da execução dos comandos acima são comunicados ao C2 por meio de solicitações HTTP.
O Group-IB afirma que a versão Android do trojan realiza mais atividades maliciosas do que no iOS devido às maiores restrições de segurança da Apple. Além disso, no Android, o trojan usa mais de 20 aplicativos falsos diferentes como cobertura.
Por exemplo, GoldPickaxe também pode executar comandos no Android para acessar SMS, navegar no sistema de arquivos, realizar cliques na tela, fazer upload das 100 fotos mais recentes do álbum da vítima, baixar e instalar pacotes adicionais e enviar notificações falsas.
O uso de deepfakes para fraudes bancárias
A utilização dos rostos das vítimas para fraudes bancárias é uma suposição do Grupo-IB, também corroborada pela polícia tailandesa, com base no facto de muitos institutos financeiros terem adicionado controlos biométricos no ano passado para transações acima de um determinado montante.
É essencial esclarecer que, embora o GoldPickaxe possa roubar imagens de telefones iOS e Android mostrando o rosto da vítima e enganar os usuários para que divulguem seu rosto em vídeo por meio de engenharia social, o malware não sequestra dados de Face ID nem explora qualquer vulnerabilidade nos dois dispositivos móveis. Sistemas operacionais. Os dados biométricos armazenados nos enclaves seguros dos dispositivos ainda são criptografados de forma adequada e completamente isolados dos aplicativos em execução.