Un grupo de investigadores ha descubierto un troyano que roba los datos de FaceID o reconocimiento facial en los smartphones iPhone, para después acceder a cuentas bancarias, recolectar información personal e interceptar mensajes SMS. Además, más recientemente también descubrieron una versión de este que puede afectar a móviles Android.
Los investigadores de ciberseguridad Group-IB descubrieron este virus informático vinculado a la familia de malware GoldDigger y lo denominaron GoldPickaxe.iOS. Este troyano se dedica a robar los datos biométricos del sistema de reconocimiento facial FaceID de los iPhone y, tras obtenerlos, es capaz de acceder a documentos de identidad almacenados en el dispositivo, así como interceptar mensajes SMS, por lo que finalmente puede obtener acceso no autorizado a la cuenta bancaria de los usuarios. De hecho, desde Group-IB han señalado que se trata de «una nueva técnica de robo monetario nunca antes vista» en sus investigaciones.
Además, también han comprobado que el virus presenta actualizaciones periódicas diseñadas para ir mejorando sus capacidades, al tiempo que evita ser detectado por las herramientas de ciberseguridad.
Para la obtención de los datos biométricos, los ciberdelincuentes utilizan servicios de intercambio de rostros impulsado por Inteligencia Artificial (IA). Así, una vez disponen de los datos, recrean un modelo de rostro ‘deepfake’ que utilizan para engañar el sistema de identificación FaceID.
Para su distribución, GoldPickaxe.iOS utilizaba inicialmente la plataforma de prueba de aplicaciones móviles de Apple TestFlight, con la que los desarrolladores lanzan versiones beta de sus aplicaciones que no requieren ser revisadas previamente, como si ocurre en la App Store. Sin embargo, una vez se descubrió el troyano, fue eliminado de TestFlight y pasaron a difundirlo a través de un sistema «sofisticado» de ingeniería social. En concreto, su ‘modus operandi’ es intentar persuadir a las víctimas para instalar un perfil de administración de dispositivos móviles (MDM) y, tras ello, obtienen un «control total» sobre el dispositivo de la víctima.
Versión más potente para Android
Tras continuar investigando, Group-IB también ha encontrado otra versión del troyano que roba los datos de FaceID más potente, a la que se refieren como GoldDiggerPlus y que está dirigida a smartphones Android.
Concretamente, esta versión, además de acceder a datos personales, permite a los ciberdelincuentes llevar a cabo llamadas a los usuarios en tiempo real. Según han explicado, las llamadas se realizan a través de un archivo APK denominado GoldKefu, el cual contiene páginas web falsas y, una vez instalado, cuando los usuarios clican en el botón de contacto de atención al cliente «de alerta falsa» en una de estas páginas web, el actor malicioso se hace pasar por un servicio de atención al cliente.
De esta forma, los ciberdelincuentes consiguen engañar a los usuarios y robar información para acceder a sus cuentas personales, sobre todo, en servicios bancarios.
Con todo ello, Group-IB recomienda a los usuarios tener precaución. Los ataques registrados han estado principalmente dirigidos a usuarios de la región de Asia y el Pacífico, destacando Vietnam y Tailandia entre los países más afectados por dicho troyano; no obstante, no descartan que puedan extenderse más allá.
Fuente principal ABC
