Troyano bancario GoldPickaxe
Un sofisticado actor de amenazas conocido como GoldFactory, que habla chino con fluidez, ha sido identificado como el creador de troyanos bancarios avanzados. Una de sus últimas creaciones es un malware para iOS no documentado llamado GoldPickaxe, que es capaz de recopilar documentos de identidad y datos de reconocimiento facial e interceptar SMS.
Los investigadores han verificado que la familia GoldPickaxe se dirige tanto a plataformas iOS como a Android. El grupo de cibercrimen GoldFactory, que se cree que está bien organizado y habla chino, está estrechamente vinculado a Gigabud.
En funcionamiento desde al menos mediados de 2023, GoldFactory es responsable del desarrollo del malware bancario basado en Android GoldDigger, junto con su variante mejorada GoldDiggerPlus. Además, han creado GoldKefu, un troyano integrado en GoldDiggerPlus.
Tabla de contenido
Los atacantes utilizan diversas técnicas de phishing para implementar GoldPickaxe
Se han identificado campañas amenazantes de ingeniería social que propagan malware, centrándose en la región de Asia y el Pacífico, en particular Tailandia y Vietnam. Los atacantes se disfrazan de bancos locales y entidades gubernamentales.
En estos ataques dirigidos, las personas reciben mensajes engañosos de smishing y phishing, lo que les incita a cambiar la conversación a aplicaciones de mensajería instantánea como LINE. Posteriormente, los atacantes envían URL fraudulentas, lo que lleva a la instalación de GoldPickaxe en los dispositivos de las víctimas.
Ciertas aplicaciones inseguras diseñadas para Android se alojan en sitios web falsificados, imitando páginas de Google Play Store o sitios corporativos falsos, para realizar el proceso de instalación con éxito.
Nuevas tácticas desplegadas por los ciberdelincuentes de GoldFactory
El método de distribución de GoldPickaxe para iOS es diferente y emplea un enfoque único. Utiliza la plataforma TestFlight de Apple y emplea URL con trampas explosivas. Estas URL alientan a los usuarios a descargar un perfil de administración de dispositivos móviles (MDM), lo que otorga control total sobre los dispositivos iOS y facilita la instalación de la aplicación maliciosa. Ambas tácticas de distribución fueron reveladas por el CERT del sector bancario de Tailandia (TB-CERT) y la Oficina de Investigación de Delitos Cibernéticos (CCIB) en noviembre de 2023.
La sofisticación de GoldPickaxe queda demostrada aún más por su capacidad para eludir las medidas de seguridad impuestas en Tailandia. Estas medidas obligan a los usuarios a confirmar transacciones más importantes mediante el reconocimiento facial para evitar el fraude. GoldPickaxe solicita ingeniosamente a las víctimas que graben un vídeo como método de confirmación dentro de la aplicación engañosa. El vídeo grabado sirve como materia prima para crear vídeos deepfake mediante servicios de inteligencia artificial de intercambio de rostros.
Además, las variantes del malware para Android e iOS poseen la capacidad de recopilar documentos de identificación y fotografías de la víctima, interceptar mensajes SMS entrantes y enrutar el tráfico a través del dispositivo comprometido. Se sospecha que los actores de GoldFactory utilizan sus propios dispositivos para iniciar sesión en aplicaciones bancarias y ejecutar transferencias de fondos no autorizadas.
Diferencias entre las versiones GoldPickaxe de iOS y Android
La versión iOS de GoldPickaxe demuestra menos funcionalidades en comparación con su contraparte de Android. Esta discrepancia se atribuye a la naturaleza cerrada del sistema operativo iOS y sus protocolos de permisos relativamente estrictos.
La variante de Android, vista como un sucesor evolutivo de GoldDiggerPlus, se disfraza de más de 20 aplicaciones diferentes asociadas con el gobierno, el sector financiero y las empresas de servicios públicos de Tailandia. Su objetivo principal es robar las credenciales de inicio de sesión de estos servicios. Sin embargo, las intenciones exactas de los actores de amenazas con esta información recopilada aún no están claras.
Otra característica notable del malware es su explotación de los servicios de accesibilidad de Android para registrar las pulsaciones de teclas y capturar contenido en pantalla.
