Gli esperti di Group-IB hanno scoperto un nuovo trojan per Android e iOS, denominato GoldPickaxe, che sfrutta tecniche di ingegneria sociale per convincere le vittime ad effettuare la scansione di volto e documenti di identità. Le informazioni sono quindi utilizzate per generare deepfake e mettere in atto frodi bancarie.
Accesso al conto corrente con deepfake
Secondo Group-IB, GoldPickaxe è parte di una suite di malware sviluppata dal gruppo cinese GoldFactory che include anche GoldDigger, GoldDiggerPlus e GoldKefu (utilizzati tra giugno e settembre 2023). Il nuovo trojan per Android e iOS viene distribuito dal mese di ottobre 2023. Le vittime sono principalmente in Asia, ma gli attacchi potrebbero estendersi ad altri paesi.
La catena di infezione inizia con l’invio di messaggi di phishing (email) o smishing (SMS). I cybercriminali invitano l’utente ad installare una presunta app rilasciata da governo. Quella per Android è stata pubblicata sul Google Play Store, mentre quella per iOS è stata distribuita tramite TestFlight.
GoldPickaxe può eseguire varie operazioni in background, tra cui la raccolta di informazioni sul dispositivo e l’accesso agli SMS. La funzionalità principale è il furto delle immagini dei documenti di identità e delle scansioni del volto.
Alcune istituzioni finanziarie richiedono il riconoscimento facciale per autorizzare transazioni di importo elevato. L’app infetta chiede quindi la registrazione di un video. I cybercriminali accedono al conto bancario e sostituiscono l’immagine del loro volto con quello della vittima. Il deepfake, creato con un servizio di IA generativa, permette di superare i controlli e quindi di svuotare il contro corrente.
Google ha comunicato che il malware viene bloccato dalla funzionalità Play Protect. Anche Apple ha rimosso l’app da TestFlight, ma i cybercriminali possono ottenere lo stesso scopo convincendo le vittime ad installare un profilo MDM (Mobile Device Management).