Tecnología
Cuidado, ya que los delincuentes están robando 'datos faciales' de usuarios de iPhone y Android para acceder a sus cuentas bancarias
Una empresa de ciberseguridad ha detectado un nuevo malware para iPhone y Android que engaña a las víctimas para que escaneen sus rostros y documentos de identidad, y se cree que se utiliza para generar deepfakes para acceso bancario no autorizado. Se informó que causaba más daño a los usuarios de Android que a los de iPhone. Google ya ha respondido al informe.
Cómo funciona este malware para engañar a las víctimasEl troyano llamado 'GoldPickaxe', que emplea esquemas de ingeniería social para engañar a los usuarios, fue detectado por Group-IB, con sede en Singapur, y se dice que es parte de un paquete de malware desarrollado por el grupo de amenazas chino conocido como 'GoldFactory'. Este grupo es responsable de otras cepas de malware como 'GoldDigger', 'GoldDiggerPlus' y 'GoldKefu'.
Según el Grupo IB, los ataques se observaron principalmente contra la región de Asia y el Pacífico, principalmente Tailandia y Vietnam.
El ataque comienza con trucos de ingeniería social. Según un informe de Bleeping Computer, la distribución de Gold Pickaxe comenzó en octubre de 2023 y aún continúa. Se contacta a las víctimas a través de mensajes de phishing en la aplicación LINE. Estos mensajes están escritos en el idioma local, haciéndose pasar por autoridades o servicios gubernamentales, y alientan a las víctimas a instalar aplicaciones fraudulentas, como una aplicación falsa de 'Pensión Digital' alojada en sitios web que se hacen pasar por Google Play.
En los iPhone, los actores de amenazas inicialmente dirigieron los objetivos a una URL de TestFlight para instalar la aplicación maliciosa, lo que les permitió eludir el proceso normal de revisión de seguridad. Según Group-IB, la versión para Android del troyano es más maliciosa que en iOS debido a las mayores restricciones de seguridad de Apple, y en Android el troyano utiliza más de 20 aplicaciones falsas como fachada.
Una vez instalada en un dispositivo, la aplicación funciona de forma semiautónoma, manejando funciones en segundo plano, capturando el rostro de la víctima, interceptando SMS entrantes y solicitando documentos de identificación. Después de recopilar los datos, los piratas informáticos los utilizan para cometer fraudes bancarios, supuso Group-IB.
Lo que Google tiene que decir
Un portavoz de Google dijo a Bleeping Computer que los usuarios de Android están protegidos contra versiones conocidas de este malware. “Los usuarios de Android están protegidos automáticamente contra versiones conocidas de este malware mediante Google Play Protect, que está habilitado de forma predeterminada en los dispositivos Android con Google Play Services. Google Play Protect puede alertar a los usuarios o bloquear aplicaciones que se sabe que exhiben un comportamiento malicioso, incluso cuando esas aplicaciones provienen de fuentes fuera de Play”, dijo el portavoz.
Cómo funciona este malware para engañar a las víctimasEl troyano llamado 'GoldPickaxe', que emplea esquemas de ingeniería social para engañar a los usuarios, fue detectado por Group-IB, con sede en Singapur, y se dice que es parte de un paquete de malware desarrollado por el grupo de amenazas chino conocido como 'GoldFactory'. Este grupo es responsable de otras cepas de malware como 'GoldDigger', 'GoldDiggerPlus' y 'GoldKefu'.
Según el Grupo IB, los ataques se observaron principalmente contra la región de Asia y el Pacífico, principalmente Tailandia y Vietnam.
El ataque comienza con trucos de ingeniería social. Según un informe de Bleeping Computer, la distribución de Gold Pickaxe comenzó en octubre de 2023 y aún continúa. Se contacta a las víctimas a través de mensajes de phishing en la aplicación LINE. Estos mensajes están escritos en el idioma local, haciéndose pasar por autoridades o servicios gubernamentales, y alientan a las víctimas a instalar aplicaciones fraudulentas, como una aplicación falsa de 'Pensión Digital' alojada en sitios web que se hacen pasar por Google Play.
En los iPhone, los actores de amenazas inicialmente dirigieron los objetivos a una URL de TestFlight para instalar la aplicación maliciosa, lo que les permitió eludir el proceso normal de revisión de seguridad. Según Group-IB, la versión para Android del troyano es más maliciosa que en iOS debido a las mayores restricciones de seguridad de Apple, y en Android el troyano utiliza más de 20 aplicaciones falsas como fachada.
Una vez instalada en un dispositivo, la aplicación funciona de forma semiautónoma, manejando funciones en segundo plano, capturando el rostro de la víctima, interceptando SMS entrantes y solicitando documentos de identificación. Después de recopilar los datos, los piratas informáticos los utilizan para cometer fraudes bancarios, supuso Group-IB.
Lo que Google tiene que decir
Un portavoz de Google dijo a Bleeping Computer que los usuarios de Android están protegidos contra versiones conocidas de este malware. “Los usuarios de Android están protegidos automáticamente contra versiones conocidas de este malware mediante Google Play Protect, que está habilitado de forma predeterminada en los dispositivos Android con Google Play Services. Google Play Protect puede alertar a los usuarios o bloquear aplicaciones que se sabe que exhiben un comportamiento malicioso, incluso cuando esas aplicaciones provienen de fuentes fuera de Play”, dijo el portavoz.
