Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Malware Gold Pickaxe: El ladrón de rostros digitales

Escrito por Levi Yoris | Feb 19, 2024 10:30:00 PM

Una nueva amenaza ha emergido capturando la atención de expertos y usuarios por igual. Conocido como "Gold Pickaxe", este malware de última generación no solo compromete la seguridad de dispositivos Android e iOS, sino que también plantea serias preocupaciones sobre la privacidad y el fraude en línea.

 

¿Qué es el Malware Gold Pickaxe?

 

Un reciente troyano dirigido a dispositivos iOS y Android, apodado 'GoldPickaxe', utiliza tácticas de ingeniería social para engañar a los usuarios, induciéndolos a escanear sus rostros y documentos de identificación. Se sospecha que la información recopilada se utiliza para crear deepfakes, con el fin de obtener acceso no autorizado a cuentas bancarias.

Este malware es la última incorporación a una serie de programas maliciosos desarrollados por un conocido grupo de ciberdelincuentes chinos. Este grupo también ha lanzado otras variantes de malware como 'GoldDigger', 'GoldDiggerPlus', y 'GoldKefu'.

Se ha observado que este troyano ha dirigido sus ataques principalmente a usuarios en la región de Asia y el Pacífico, con un enfoque particular en Tailandia y Vietnam. Sin embargo, las estrategias utilizadas por este malware tienen el potencial de ser efectivas a nivel mundial, aumentando el riesgo de que sean adoptadas por otras variantes de malware en el futuro.

 

Te podrá interesar:  ¿Qué es un Virus Troyano?

 

Inicia mediante tácticas de ingeniería social

 

 

La propagación del troyano Gold Pickaxe dio inicio en octubre de 2023 y sigue activa hasta la fecha, siendo parte de una operación más amplia que comenzó en junio de 2023 con el lanzamiento de Gold Digger.

Este troyano se vale de técnicas de ingeniería social para acercarse a sus víctimas, utilizando mensajes de phishing o smishing a través de la aplicación LINE. Estos mensajes están meticulosamente redactados en el idioma local de la víctima, imitando comunicaciones de autoridades o entidades gubernamentales.

Los atacantes intentan engañar a los usuarios para que descarguen aplicaciones malintencionadas, como una versión fraudulenta de una supuesta aplicación de 'Digital Pension', alojada en páginas web que simulan ser Google Play.

 

 

Para los usuarios de dispositivos iOS, los ciberdelincuentes inicialmente guiaban a las víctimas hacia una URL de TestFlight para instalar la aplicación nociva, eludiendo así los controles de seguridad habituales. Tras la eliminación de la aplicación por parte de Apple, los atacantes modificaron su estrategia, persuadiendo a los usuarios para que descargaran un perfil de administración de dispositivos móviles (MDM) dañino. Este perfil les otorga a los atacantes la capacidad de tomar control sobre los dispositivos afectados. 

 

Conoce más sobre:  Riesgos en Aplicaciones:¿Cómo evitar el Malware Móvil?

 

Funcionalidades del Malware Gold Pickaxe

 

Una vez instalado en un dispositivo móvil bajo la apariencia de una aplicación gubernamental falsa, Gold Pickaxe opera de manera semiautónoma. Este troyano manipula funciones en el fondo, captura el rostro del usuario, intercepta mensajes de texto entrantes, solicita documentos de identificación y redirige el tráfico de internet del dispositivo a través de 'MicroSocks'.

Para dispositivos iOS, el malware establece una conexión web para recibir órdenes específicas, que incluyen:

 

  • Heartbeat: Verifica la conexión con el servidor de comando y control (C2).
  • init: Envía información del dispositivo al servidor C2.
  • upload_idcard: Pide al usuario que capture una imagen de su documento de identidad.
  • rostro: Solicita al usuario grabar un video de su rostro.
  • actualización: Muestra un mensaje falso de "dispositivo en uso" para prevenir interrupciones.
  • álbum: Sincroniza las fechas de las fotos almacenadas, posiblemente para su exfiltración.
  • again_upload: Intenta nuevamente la exfiltración de datos.
  • destruir: Detiene la operación del troyano.

 

La comunicación de los resultados de estos comandos con el servidor C2 se realiza mediante solicitudes HTTP. Se observa que la variante de Android de este troyano tiene capacidades maliciosas más amplias que su contraparte de iOS, debido a las restricciones de seguridad más estrictas de Apple. En Android, Gold Pickaxe se disfraza mediante más de 20 aplicaciones falsas.

Por ejemplo, en Android, Gold Pickaxe puede ejecutar comandos para acceder a mensajes SMS, explorar el sistema de archivos, realizar toques en la pantalla, subir las 100 fotos más recientes, descargar e instalar paquetes adicionales y emitir notificaciones falsas.

La suposición de que el robo de imágenes faciales podría usarse para fraude bancario se basa en la implementación de controles biométricos por parte de muchas instituciones financieras para transacciones que superan cierto monto. Esto ha sido corroborado por las autoridades policiales de ciertas regiones, basándose en la evidencia recopilada.

Es importante destacar que, aunque Gold Pickaxe puede extraer imágenes y videos que muestran el rostro del usuario mediante ingeniería social, no compromete los datos de Face ID ni explota vulnerabilidades en los sistemas operativos de iOS o Android. Los datos biométricos almacenados en los dispositivos permanecen cifrados y seguros, aislados de cualquier aplicación maliciosa en ejecución.

 

Interfaz para la captura facial

 

Podría interesarte leer:  Ilusiones de Seguridad: ¿Es iOS Realmente Más Seguro que Android?

 

Un representante de Google proporcionó el siguiente comentario sobre la amenaza de GoldPickaxe:

"Google Play Protect, activado por defecto en dispositivos Android con Google Play Services, ofrece protección automática a los usuarios frente a versiones reconocidas de este malware. Este sistema puede alertar a los usuarios o restringir la instalación de aplicaciones con comportamientos maliciosos identificados, incluyendo aquellas descargadas de fuentes fuera de Google Play".

 

Conclusión

 

El malware Gold Pickaxe es un recordatorio potente de las amenazas en constante evolución en el mundo digital. Al robar identidades faciales, este malware no solo compromete la seguridad de los dispositivos, sino que también plantea riesgos significativos de fraude y violaciones de privacidad. La protección contra tales amenazas requiere vigilancia, educación continua, y la adopción de prácticas de seguridad robustas. Juntos, podemos trabajar hacia un futuro digital más seguro, donde la privacidad y la seguridad sean prioritarias.

Recordemos, en el combate contra el malware y las amenazas cibernéticas, el conocimiento es nuestra mejor defensa. Mantenerse informado y preparado puede marcar la diferencia entre ser una víctima más del fraude en línea o un usuario empoderado, capaz de navegar el ciberespacio de manera segura y confiada.