Group-IB ha scoperto un nuovo sofisticato trojan iOS, denominato GoldPickaxe.iOS, progettato per rubare dati sensibili come il riconoscimento facciale, documenti d’identità e persino intercettare SMS degli utenti. Questo trojan, attribuito a un hacker cinese noto come GoldFactory, fa parte di una suite di malware che ha come bersaglio principale la regione Asia-Pacifico, mimetizzandosi da banche e organizzazioni governative locali.
La particolarità di GoldPickaxe.iOS è la sua capacità di sfruttare servizi di scambio di volti basati sull’intelligenza artificiale per creare deepfake, sostituendo il volto degli aggressori con quelli delle vittime. Questa tecnica, combinata con la raccolta di dati biometrici e documenti d’identità, apre la porta a possibili accessi non autorizzati ai conti bancari delle vittime, rappresentando una minaccia senza precedenti per la sicurezza online.
Il trojan, mascherato da app di servizi governativi tailandesi, inclusa l’app Digital Pension, richiede all’utente di creare un profilo biometrico facciale completo e scattare una foto della propria carta d’identità. Successivamente, l’autore della minaccia richiede il numero di telefono per ottenere maggiori dettagli sulle vittime, cercando in particolare informazioni sui conti bancari associati alla vittima.
Ma ciò che rende GoldPickaxe.iOS ancora più pericoloso è il suo sofisticato metodo di distribuzione. Dopo aver inizialmente utilizzato la piattaforma di test delle applicazioni mobili di Apple, TestFlight, l’autore della minaccia ha adottato un approccio più avanzato, utilizzando tecniche di social engineering per convincere le vittime a installare un profilo Mobile Device Management (MDM), consentendo loro il controllo completo del dispositivo della vittima.
Questa scoperta di Group-IB è particolarmente significativa perché rappresenta un raro esempio di malware che mira direttamente al sistema operativo mobile di Apple, sottolineando la crescente complessità delle minacce informatiche contro dispositivi iOS.
Il trojan è stato associato a una serie di attacchi nella regione Asia-Pacifico, in particolare in Thailandia e Vietnam, ed è parte di una famiglia di malware attribuita a GoldFactory. Nel febbraio 2024, un cittadino vietnamita è stato vittima di un malware che ha causato il prelievo di oltre 40.000 dollari dal suo conto bancario. Anche se Group-IB non ha prove dirette della distribuzione del trojan GoldPickaxe in Vietnam, la caratteristica unica menzionata nelle notizie suggerisce che GoldPickaxe potrebbe aver raggiunto il Vietnam.
GoldPickaxe.iOS è il primo trojan iOS osservato da Group-IB a combinare raccolta di dati biometrici, documenti d’identità, intercettazione di SMS e inoltro del traffico attraverso i dispositivi delle vittime. Anche se non ruba direttamente denaro dai telefoni delle vittime, raccoglie informazioni sufficienti per creare video deepfake e accedere autonomamente all’applicazione bancaria della vittima.
Il suo fratello Android presenta ancora più funzionalità a causa delle maggiori restrizioni e della natura chiusa di iOS. Il riconoscimento facciale è utilizzato attivamente dalle organizzazioni finanziarie tailandesi per la verifica delle transazioni e l’autenticazione dell’accesso. Sebbene non ci siano casi documentati di accesso non autorizzato ai conti bancari delle vittime utilizzando dati biometrici rubati, l’ipotesi di Group-IB suggerisce che i criminali informatici utilizzino dispositivi Android per accedere ai conti, aggirando i controlli di riconoscimento facciale. La polizia tailandese ha confermato queste ipotesi.
https://www.group-ib.com/media-center/press-releases/goldfactory-ios-trojan/