Un nuovo trojan per iOS e Android, denominato “GoldPickaxe”, sta utilizzando tecniche di ingegneria sociale per ingannare le vittime affinché scansionino i propri volti e documenti d’identità, che si ritiene vengano utilizzati per generare deepfake e ottenere accesso non autorizzato ai servizi bancari.
Origini e Distribuzione
Sviluppato dal gruppo di minacce cinese “GoldFactory”, noto anche per altre varianti di malware come “GoldDigger” e “GoldDiggerPlus”, GoldPickaxe è stato individuato da Group-IB e si concentra principalmente sull’area Asia-Pacifico, in particolare su Thailandia e Vietnam. La distribuzione di questo malware è iniziata nell’ottobre 2023 e continua ad essere parte di una campagna di GoldFactory iniziata nel giugno 2023.
Tecniche di Attacco
Le vittime vengono contattate tramite messaggi di phishing o smishing sull’app LINE, che impersonano autorità governative o servizi, inducendole a installare app fraudolente come una falsa app “Digital Pension”. Gli utenti iOS vengono inizialmente indirizzati a un URL di TestFlight per installare l’app maligna, aggirando così il normale processo di revisione della sicurezza, per poi passare a profili MDM (Mobile Device Management) dannosi che consentono agli attaccanti di prendere il controllo dei dispositivi.
Funzionalità di Gold Pickaxe
Una volta installato come finta app governativa, Gold Pickaxe opera semi-autonomamente, catturando il volto della vittima, intercettando SMS in arrivo, richiedendo documenti d’identità e instradando il traffico di rete attraverso il dispositivo infetto. Sui dispositivi iOS, il malware stabilisce un canale WebSocket per ricevere comandi vari, tra cui la cattura del volto e l’upload di documenti d’identità.
Implicazioni per la Privacy e la Sicurezza
Sebbene GoldPickaxe possa rubare immagini e video che mostrano il volto della vittima attraverso l’ingegneria sociale, non è in grado di compromettere i dati di Face ID o sfruttare vulnerabilità nei sistemi operativi mobile. I dati biometrici memorizzati negli enclave sicuri dei dispositivi rimangono criptati e isolati dalle app in esecuzione.
Consigli per la Protezione
È fondamentale rimanere vigili rispetto a messaggi sospetti e richieste di installazione di app non verificate, specialmente quando si tratta di richieste che coinvolgono dati biometrici o personali sensibili.