Novo 'Gold Pickaxe' malware para Android e iOS rouba seu rosto para fraude
15 de Fevereiro de 2024

Um novo trojan para iOS e Android chamado 'GoldPickaxe' utiliza um esquema de engenharia social para enganar vítimas a escanear seus rostos e documentos de identificação, os quais se acredita serem usados para gerar deepfakes para acesso não autorizado a bancos.

O novo malware, identificado pelo Grupo-IB, faz parte de um conjunto de malwares desenvolvido pelo grupo chinês de ameaças conhecido como 'GoldFactory', responsável por outras cepas de malware como 'GoldDigger', 'GoldDiggerPlus,' e 'GoldKefu'.

Grupo-IB diz que seus analistas observaram ataques visando principalmente a região da Ásia-Pacífico, principalmente Tailândia e Vietnã.

No entanto, as técnicas empregadas poderiam ser eficazes globalmente, e há o perigo de elas serem adotadas por outras cepas de malware.

A distribuição do Gold Pickaxe começou em outubro de 2023 e ainda está em andamento.

Ela é considerada parte de uma campanha do GoldFactory que começou em junho de 2023 com o Gold Digger.

As vítimas são abordadas por mensagens de phishing ou smishing no aplicativo LINE, escritas em seu idioma local, imitando autoridades ou serviços governamentais.

As mensagens tentam enganá-los para instalar aplicativos fraudulentos, como um falso aplicativo 'Pensão Digital' hospedado em sites que se passam por Google Play.

Para usuários de iOS (iPhone), os atores de ameaças inicialmente direcionaram os alvos para uma URL do TestFlight para instalar o aplicativo malicioso, permitindo que eles contornassem o processo normal de revisão de segurança.

Quando a Apple removeu o aplicativo TestFlight, os atacantes passaram a atrair os alvos para baixarem um perfil malicioso de Gerenciamento de Dispositivo Móvel (MDM) que permite aos atores de ameaças tomar controle total dos dispositivos.

Uma vez que o trojan tenha sido instalado em um dispositivo móvel na forma de um aplicativo governamental falso, ele opera semi-autonomamente, manipulando funções em segundo plano, capturando o rosto da vítima, interceptando SMS recebidos, solicitando documentos de identificação e direcionando o tráfego de rede através do dispositivo infectado usando 'MicroSocks'.

Em dispositivos iOS, o malware estabelece um canal de soquete web para receber os seguintes comandos:

Pulsar: comando para fazer ping no servidor de controle e comando (C2)

iniciar: enviar informações do dispositivo para o C2

upload_idcard: solicitar à vítima que tire uma foto de seu documento de identidade

rosto: solicitar à vítima que grave um vídeo de seu rosto

atualizar: mostrar uma falsa mensagem de “dispositivo em uso” para evitar interrupções

álbum: sincronizar a data da biblioteca de fotos (exfiltrar para um bucket na nuvem)

novamente_upload: tentar novamente exfiltrar o vídeo do rosto da vítima para o bucket
destruir: parar o trojan

Os resultados da execução dos comandos acima são comunicados de volta para o C2 através de solicitações HTTP.

O Grupo-IB diz que a versão Android do trojan realiza mais atividades maliciosas do que no iOS devido as restrições de segurança mais altas da Apple.

Além disso, no Android, o trojan utiliza mais de 20 diferentes aplicativos falsos como disfarce.

Por exemplo, o GoldPickaxe também pode executar comandos no Android para acessar SMS, navegar no sistema de arquivos, realizar cliques na tela, fazer upload das 100 fotos mais recentes do álbum da vítima, baixar e instalar pacotes adicionais e veicular notificações falsas.

O uso dos rostos das vítimas para fraude bancária é uma suposição do Grupo-IB, também corroborada pela polícia tailandesa, baseada no fato de que muitas instituições financeiras adicionaram verificações biométricas no ano passado para transações acima de um determinado valor.

É essencial esclarecer que, embora o GoldPickaxe possa roubar imagens de telefones iOS e Android mostrando o rosto da vítima e enganar os usuários a revelar seu rosto em vídeo através de engenharia social, o malware não sequestra os dados do Face ID ou explora qualquer vulnerabilidade nos dois sistemas operacionais móveis.

Os dados biométricos armazenados nos enclaves seguros dos dispositivos ainda estão devidamente criptografados e completamente isolados dos aplicativos em execução.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...