Un nuevo software capaz de robar documentos de identificación y rostros de usuarios de todo el mundo mantiene en alerta a los expertos. Se trata de un software llamado: GoldPickaxe, capaz de ejecutarse en sistemas iOS y Android, que mediante ingeniería social induce a las víctimas a escanear sus rostros y documentos de identificación, potencialmente haciendo que los estafadores utilicen los datos para generar deepfakes y así obtener acceso no autorizado a cuentas bancarias.
El nuevo software, detectado por Group-IB, forma parte de un conjunto de malware desarrollado por el grupo de amenazas chino conocido como 'GoldFactory', responsable de otras cepas de malware como 'GoldDigger', 'GoldDiggerPlus' y 'GoldKefu'.
Ataques en Asia-Pacífico
Group-IB informa haber observado ataques en la región de Asia y el Pacífico, especialmente en Tailandia y Vietnam. Sin embargo, el software tiene la capacidad de propagarse fácilmente por todo el mundo y existe el riesgo de que se incorpore a otras cepas de malware.
Capacidades de GoldPickaxe
El troyano se instala en un dispositivo móvil como una aplicación gubernamental local falsa, opera de forma semiautónoma, manipula funciones en segundo plano, captura el rostro de la víctima, intercepta mensajes SMS entrantes, solicita documentos de identidad y representa el tráfico de red de la víctima a través del dispositivo infectado, usando 'MicroCalcetines'.
Cómo detectar robo de identidad con IA en todos los sectores
Descubre cómo la Inteligencia Artificial puede ayudarte a combatir el fraude en varios sectores. ¡Construyamos un futuro más seguro juntos!
KYC en México para la apertura de cuentas bancarias online
Conoce las principales regulaciones para la apertura de cuenta bancaria de forma remota en México y cómo solucionar los requerimientos.
En dispositivos iOS, el malware establece un canal de conexión web para recibir los siguientes comandos:
- Heartbeat: ping al servidor de comando y control (C2)
- init: envía información del dispositivo a C2
- upload_idcard: Pide a la víctima que tome una foto de su documento de identidad
- Rostro: Pídele a la víctima que grabe un vídeo de su rostro.
- Actualización: muestra un mensaje falso de "dispositivo en uso" para evitar interrupciones
- Álbum: sincronizar la biblioteca de fotos (exfiltrar al depósito de la nube)
- Again_upload: Reintentar la exfiltración de video desde la cara de la víctima al depósito
- Destruir: detener el troyano
“Se trata de un software con un gran potencial de difusión, que puede dar lugar a fraudes en todo el mundo. Si se propaga, podría causar pérdidas significativas en todos los sectores, especialmente en el sector financiero. Para protegerse de este tipo de fraudes es necesario contar con tecnología que esté un paso por delante de los estafadores, capaz de identificar el fraude generado a través de deepfakes y bloquear dichas acciones, protegiendo el sistema y a los usuarios”, afirma Carlos Chavarría, CEO de NAAT TECH.
Riesgos de fraudes bancarios
El uso de los rostros de las víctimas para el fraude bancario es una suposición del Grupo-IB, corroborada por la policía tailandesa, basándose en el hecho de que muchas instituciones financieras añadieron controles biométricos el año pasado para transacciones superiores a una determinada cantidad.
Es fundamental aclarar que, si bien GoldPickaxe puede robar imágenes de los rostros de las víctimas en teléfonos iOS y Android y engañar a los usuarios para que revelen sus rostros en video mediante ingeniería social, el malware no secuestra los datos de Face ID ni explota ninguna vulnerabilidad en dos sistemas operativos móviles.
Los datos biométricos almacenados en enclaves seguros de dispositivos están correctamente cifrados y completamente aislados de las aplicaciones en ejecución.
Ante las repercusiones, un portavoz de Google envió el siguiente comentario a BleepingComputer sobre la amenaza GoldPickaxe:
"Los usuarios de Android están protegidos automáticamente contra versiones conocidas de este malware mediante Google Play Protect, que está habilitado de forma predeterminada en dispositivos Android con Google Play Services. Google Play Protect puede advertir a los usuarios o bloquear aplicaciones que exhiben un comportamiento malicioso, incluso cuando estas aplicaciones provienen de fuentes fuera de Google Play."
Mantenerse informado y desconfiar de enlaces y aplicaciones desconocidos sigue siendo fundamental para protegerse contra amenazas como GoldPickaxe.
