Un troyano roba Face ID de iPhones para acceder a cuentas bancarias
Un equipo de investigadores ha revelado la existencia de un troyano vinculado a la familia de malware GoldDigger, capaz de sustraer los datos de reconocimiento facial del sistema FaceID en iPhones. Este astuto virus, denominado GoldPickaxe.iOS, no solo compromete la seguridad biométrica de los smartphones, sino que también se aventura en la interceptación de mensajes SMS y la obtención de documentos de identidad almacenados en los dispositivos.
Inicialmente descubierto por los expertos en ciberseguridad de Group-IB en móviles Android bajo el nombre de GoldDigger, este troyano ha evolucionado hasta su versión diseñada para dispositivos iOS. El modus operandi del GoldPickaxe.iOS implica el robo de datos biométricos de FaceID, utilizando servicios de intercambio de rostros impulsados por Inteligencia Artificial. Los datos obtenidos se utilizan para crear un modelo de rostro deepfake que engaña eficazmente al sistema de identificación facial.
LEA: WhatsApp: cómo activar Face ID o Touch ID para proteger tus chats
Además de eludir el sistema de seguridad FaceID, el troyano también puede acceder a documentos de identificación y interceptar mensajes SMS, proporcionándole acceso no autorizado a las cuentas bancarias de los usuarios. Este método, descrito por Group-IB como "una nueva técnica de robo monetario nunca antes vista", se actualiza periódicamente para mejorar sus capacidades y evitar la detección por parte de las herramientas de ciberseguridad.
La distribución inicial de GoldPickaxe.iOS se realizaba a través de la plataforma de prueba de aplicaciones móviles de Apple, TestFlight, pero tras su descubrimiento, los actores maliciosos recurrieron a un sistema más sofisticado de ingeniería social. Persuadían a las víctimas para instalar un perfil de administración de dispositivos móviles (MDM), obteniendo así un control total sobre los dispositivos comprometidos.
LEA: Esto es lo que se sabe sobre los nuevos iPad Air
Este troyano, según Group-IB, es una versión del malware GoldDigger, vinculado al grupo de ciberdelincuentes conocido como GoldFactory. Los ataques se han dirigido principalmente a usuarios de la región de Asia y el Pacífico, con un enfoque particular en países como Vietnam y Tailandia.
Además, durante la investigación, Group-IB descubrió una versión más potente del malware GoldDigger, denominada GoldDiggerPlus, dirigida a smartphones Android. Esta variante no solo accede a datos personales, sino que también permite a los ciberdelincuentes realizar llamadas a los usuarios en tiempo real, utilizando un archivo APK llamado GoldKefu. Este archivo crea páginas web falsas que simulan servicios de atención al cliente para engañar a los usuarios y robar información personal, especialmente en el ámbito de servicios bancarios.