El malware móvil GoldPickaxe roba tanto en dispositivos Android como iOS
A GoldFactory, un actor de amenazas que habla chino con fluidez, se le atribuye el desarrollo de troyanos bancarios avanzados, incluido un malware para iOS no reportado anteriormente llamado GoldPickaxe. Este software malicioso es experto en extraer documentos de identidad, datos de reconocimiento facial e interceptar SMS. La familia GoldPickaxe es compatible con plataformas iOS y Android, y se cree que GoldFactory, identificado como un grupo de ciberdelincuencia bien organizado de habla china, tiene estrechos vínculos con Gigabud.
Activo desde al menos mediados de 2023, GoldFactory también es responsable de un malware bancario basado en Android conocido como GoldDigger y su versión avanzada GoldDiggerPlus, junto con GoldKefu, un troyano integrado en GoldDiggerPlus.
El malware se distribuye a través de campañas de ingeniería social dirigidas a la región de Asia y el Pacífico, en particular Tailandia y Vietnam. Los atacantes emplean mensajes de smishing y phishing, dirigiendo a las víctimas a cambiar a aplicaciones de mensajería instantánea como LINE, y luego envían URL engañosas que conducen a la instalación de GoldPickaxe. Para Android, algunas aplicaciones maliciosas están alojadas en sitios web falsos que se asemejan a páginas de Google Play Store o sitios corporativos falsificados.
Variante de iOS distribuida a través de URL maliciosas
GoldPickaxe para iOS sigue una estrategia de distribución distinta, utilizando la plataforma TestFlight de Apple y URL trampa que solicitan a los usuarios descargar un perfil de administración de dispositivos móviles (MDM), otorgando control completo sobre los dispositivos iOS para la instalación de la aplicación maliciosa.
La sofisticación de GoldPickaxe es evidente en su capacidad para eludir las medidas de seguridad implementadas por Tailandia, que obligan a los usuarios a confirmar transacciones más importantes mediante el reconocimiento facial para evitar el fraude. GoldPickaxe solicita a las víctimas que graben un video para confirmarlo dentro de la aplicación falsa, utilizando estos videos como materia prima para crear videos deepfake a través de servicios de inteligencia artificial de intercambio de rostros.
Tanto la variante de malware para Android como para iOS son capaces de recopilar documentos de identificación y fotografías, interceptar mensajes SMS y enviar tráfico a través de dispositivos comprometidos. Existen sospechas de que los actores de GoldFactory utilizan sus propios dispositivos para iniciar sesión en aplicaciones bancarias y ejecutar transferencias de fondos no autorizadas. Estos mecanismos de propagación fueron revelados por el CERT del sector bancario de Tailandia (TB-CERT) y la Oficina de Investigación de Delitos Cibernéticos (CCIB) en noviembre de 2023.
