Un grupo de investigadores descubrió un troyano vinculado a la familia de código malicioso GoldDigger, que roba los datos de reconocimiento facial del sistema FaceID en los celulares iPhone, para después acceder a cuentas bancarias, recolectar información personal e interceptar mensajes SMS.

Los investigadores de ciberseguridad de la empresa Group-IB descubrieron este virus en teléfonos móviles con el sistema operativo Android en octubre y lo denominaron GoldDigger.

Luego analizaron la actividad de esta amenaza y su evolución e identificaron una nueva versión diseñada para dispositivos con el sistema operativo iOS, denominada GoldPickaxe.iOS.

Este troyano se dedica a robar los datos biométricos del sistema de reconocimiento facial FaceID de los iPhone y, tras obtenerlos, puede acceder a documentos de identidad almacenados en el dispositivo, así como interceptar mensajes SMS.

Los investigadores explicaron en un informe publicado en su sitio web que para obtener los datos biométricos del reconocimiento facial, los actores maliciosos utilizan servicios de intercambio de rostros impulsado por inteligencia artificial (IA).

Así, una vez disponen de los datos, recrean un modelo de rostro "deepfake" que utilizan para engañar el sistema de identificación FaceID. Además de sortear el sistema de seguridad FaceID, el troyano también es capaz de acceder a documentos de identificación e interceptar SMS.

Este troyano se dedica a robar los datos biométricos del sistema de reconocimiento facial FaceID de los iPhone.

Técnica inédita para conseguir datos personales de usuarios del iPhone

Con todo ello, puede obtener acceso no autorizado a la cuenta bancaria de los usuarios. Desde Group-IB señalaron que se trata de "una nueva técnica de robo monetario nunca antes vista" en sus investigaciones.

También comprobaron que el virus presenta actualizaciones periódicas diseñadas para mejorar sus capacidades, y evita ser detectado por las herramientas de ciberseguridad.

Para su distribución, GoldPickaxe.iOS utilizaba inicialmente la plataforma de prueba de aplicaciones móviles de Apple TestFlight, con la que los desarrolladores lanzan versiones beta de sus aplicaciones que no requieren ser revisadas previamente, como si ocurre en la App Store.

Sin embargo, una vez se descubrió el troyano, fue eliminado de TestFlight y los actores maliciosos pasaron a difundirlo a través de un sistema sofisticado de ingeniería social.

En concreto, su modus operandi es intentar persuadir a las víctimas para instalar un perfil de administración de dispositivos móviles (MDM) y, tras ello, obtienen un "control total" sobre el dispositivo de la víctima.

Con todo ello, según se informó desde Group-IB, el troyano GoldPickaxe.iOS es una versión de GoldDigger, asociado al grupo de ciberdelincuentes con nombre en código GoldFactory.

Una versión del troyano afecta a celulares Android.

Un troyano que también afecta a celulares Android

A través de estas versiones para móviles iOS y Android, los expertos en ciberseguridad advirtieron que el grupo de actores maliciosos desarrolló un "sofisticado" conjunto de código malicioso para banca móvil y, por tanto, recomendaron a los usuarios tener precaución.

Los ataques registrados fueron dirigidos a usuarios de la región de Asia y el océano Pacífico oriental. Vietnam y Tailandia fueron los países más afectados por el troyano GoldPickaxe.iOS.

Group-IB también encontró otra versión de GoldDigger más potente, llamada GoldDiggerPlus y que está dirigida a celulares Android. Esta versión, además de acceder a datos personales, permite a los ciberdelincuentes llevar a cabo llamadas a los usuarios en tiempo real.

Según explicaron los investigadores, las llamadas se realizan a través de un archivo APK -utilizado para instalar una aplicación en dispositivos Android- denominado GoldKefu.

Este archivo, contiene páginas web falsas y una vez instalado, cuando los usuarios clican en el botón de contacto de atención al cliente "de alerta falsa" en una de estas páginas web, el actor malicioso se hace pasar por un servicio de atención al cliente.

De esta forma, los ciberdelincuentes consiguen engañar a los usuarios y robar información para acceder a sus cuentas personales, sobre todo, en servicios bancarios.