Un malware d'un nouveau genre. Baptisé Gold Pickaxe, ce cheval de Troie s'attaque à votre visage pour récolter vos données bancaires. Pour l'heure, l'attaque ne concerne que les pays de l'Asie du Sud-Est.
Repéré par une entreprise de cybersécurité, Group-IB, Gold Pickaxe est un malware qui sévit sur iOS et Android. Son but est vieux comme Internet : récolter et exploiter vos données personnelles et bancaires. Son procédé est en revanche inédit : utiliser la reconnaissance faciale, système plébiscité par les banques et agences gouvernementales des pays d'Asie du Sud-Est, pour générer des deepfakes, de plus en plus nombreux en ligne, des visages volés. Mais le risque que Gold Pickaxe s'étende à l'échelle mondiale inquiète.
Il était une fois de faux représentants du gouvernement…
Pour convaincre les utilisateurs d'autoriser l'accès à leurs comptes bancaires, rien de tel que de se faire passer pour un agent gouvernemental au ton menaçant. Nous sommes en juin 2023 quand les pirates de la Gold Factory entament leur basse besogne avec la campagne Gold Digger.
Les victimes sont sommées de communiquer via l'application de messagerie Line pour ensuite télécharger une application, Digital Pension pour Android disponible via un faux Google Play, ou sont redirigées vers une URL, TestFlight, pour iOS. Se pensant en sécurité, elles ignorent qu'elles sont infectées par le cheval de Troie, Gold Pickaxe. Le piège se referme alors sur les victimes de ces cybercriminels, menacées de divulguer certaines de leurs données personnelles s'ils refusent de s'exécuter.
In fine, ces données sont exploitées sous la forme de deepfakes destinées à contourner les systèmes de vérification des applications bancaires et ainsi se connecter à la place de leurs victimes. La suite, on la connaît : vider les comptes bancaires.
Un cybercrime bien organisé, mais qui a ses limites
Une fois Gold Pickaxe dans le système, il demande aux utilisateurs de scanner leurs documents d'identité, voire leur visage. Il va même jusqu'à intercepter les SMS échangés ou demander un selfie en vidéo en guise de méthode de confirmation.
Ironie de l'histoire, Group-IB pense que « les cybercriminels utilisent leurs propres appareils pour se connecter aux comptes bancaires » et ajoute même que « La police thaïlandaise a confirmé cette hypothèse, affirmant que les cybercriminels installent des applications bancaires sur leurs propres appareils Android et utilisent des scans de visage capturés pour contourner les contrôles de reconnaissance faciale afin d'effectuer un accès non autorisé aux comptes des victimes ». Rien n'est laissé au hasard.
Il semblerait en plus que ce soit sur Android que Gold Pickaxe soit le plus autonome, les niveaux de sécurités étant plus exigeants sur Apple. Ainsi, sur Android, le malware peut naviguer dans le système de fichiers, télécharger des photos, ou encore envoyer de fausses notifications.
Pour autant, Gold Pickaxe ne détourne pas les données Face ID ni n'exploite aucune vulnérabilité sur les deux OS. Les données biométriques stockées sur les enclaves sécurisées des appareils sont toujours correctement cryptées et complètement isolées des applications en cours d'exécution. Un moindre mal.
Sources: PC Mag, Bleeping Computer, Infosecurity Magazine
