O companie de securitate cibernetică a identificat ceea ce ar putea fi primul troian pentru iOS proiectat pentru a fura date de recunoaștere facială de la utilizatori.
Malware-ul iOS, numit GoldPickaxe, a vizat utilizatorii din Thailanda și posibil Vietnam, conform Group-IB, un furnizor de securitate cibernetică cu sediul în Singapore.
Malware-ul va colecta date biometrice, probabil deoarece băncile și agențiile guvernamentale din Asia de Sud-Est au adoptat scanările de recunoaștere facială pentru deblocarea accesului clienților.
„Pentru a exploata datele biometrice furate, actorul amenințării utilizează servicii de înlocuire facială AI pentru a crea deepfakes, înlocuind fețele lor cu cele ale victimelor”, afirmă Group-IB în raport. „Această metodă ar putea fi folosită de infractori cibernetici pentru a obține acces neautorizat la contul bancar al victimei – o nouă tehnică de fraudă, anterior nevăzută de cercetătorii Group-IB.”
Până în prezent, compania a observat că GoldPickaxe se disimulează sub forma unor aplicații guvernamentale thailandeze și solicită apoi utilizatorilor să facă o fotografie a cardului lor de identitate și să treacă printr-un scan facial.
A fost descoperită și o versiune pentru Android cu și mai multe capacități. Cu toate acestea, malware-ul nu circulă pe magazinele oficiale de aplicații. Nici nu exploatează nicio vulnerabilitate iOS. În schimb, creatorii malware-ului i-au păcălit pe victime să instaleze aplicația malitioasă și să acorde toate configurările necesare, inclusiv permisiuni puternice pentru dispozitiv prin intermediul Apple TestFlight sau a sistemului de profil de gestionare a dispozitivelor mobile.
Group-IB menționează, de asemenea, un incident în Vietnam care ar putea fi legat de malware. Luna trecută, un utilizator din țară a raportat că a fost înșelat să facă un scan facial după ce cineva care pretindea a fi un funcționar guvernamental i-a spus să instaleze o aplicație de servicii publice care s-a dovedit a fi falsă.
Group-IB suspectează că malware-ul provine de la un grup de hackeri chinezi, numit GoldFactory, care anterior a distribuit numeroase troieni sub forma unor aplicații bancare vietnameze. „Secvențe de depanare în chineză au fost găsite în toate variantele malware-ului și panourile lor de control au fost, de asemenea, în chineză”, afirmă compania de securitate.