Nuevo malware 'Gold Pickaxe' para Android e iOS

Un nuevo troyano para iOS y Android llamado 'GoldPickaxe' emplea un esquema de ingeniería social para engañar a las víctimas para que escaneen sus rostros y documentos de identidad, que se cree que se utilizan para generar deepfakes para el acceso bancario no autorizado.

El nuevo malware, detectado por Group-IB, es parte de un paquete de malware desarrollado por el grupo de amenazas chino conocido como 'GoldFactory', que es responsable de otras cepas de malware como 'GoldDigger', 'GoldDiggerPlus' y 'GoldKefu'.

Group-IB dice que sus analistas observaron ataques dirigidos principalmente a la región de Asia-Pacífico, principalmente Tailandia y Vietnam. Sin embargo, las técnicas empleadas podrían ser efectivas a nivel mundial, y existe el peligro de que sean adoptadas por otras cepas de malware.

Comienza con ataques de ingeniería social

La distribución de Gold Pickaxe comenzó en octubre de 2023 y aún está en curso. Se considera parte de una campaña de GoldFactory que comenzó en junio de 2023 con Gold Digger.


Se contacta con las víctimas a través de mensajes de phishing o smishing en la aplicación LINE escritos en su idioma local, haciéndose pasar por autoridades o servicios gubernamentales.

Los mensajes intentan engañarlos para que instalen aplicaciones fraudulentas, como una aplicación falsa de "Pensión digital" alojada en sitios web que se hacen pasar por Google Play.


En el caso de los usuarios de iOS (iPhone), los actores de amenazas dirigieron inicialmente a los objetivos a una URL de TestFlight para instalar la aplicación maliciosa, lo que les permitió eludir el proceso normal de revisión de seguridad.

Cuando Apple eliminó la aplicación TestFlight, los atacantes pasaron a atraer a los objetivos para que descargaran un perfil malicioso de administración de dispositivos móviles (MDM) que permite a los actores de amenazas tomar el control de los dispositivos.

Capacidades de pico de oro

Una vez que el troyano se ha instalado en un dispositivo móvil en forma de una aplicación gubernamental falsa, opera de forma semiautónoma, manipulando funciones en segundo plano, capturando el rostro de la víctima, interceptando los SMS entrantes, solicitando documentos de identidad y redirigiendo el tráfico de red a través del dispositivo infectado mediante 'MicroSocks'.

En los dispositivos iOS, el malware establece un canal de socket web para recibir los siguientes comandos:

• Heartbeat: servidor de comando y control ping (C2)
• init: enviar información del dispositivo al C2
• upload_idcard: solicitar a la víctima que tome una foto de su DNI
• Face: Solicita a la víctima que tome un video de su rostro
• Upgrade: muestra un mensaje falso de "Dispositivo en uso" para evitar interrupciones
• album: Sincronizar la fecha de la biblioteca de fotos (exfiltrar a un depósito en la nube)
• again_upload: Vuelva a intentar la exfiltración del video de la cara de la víctima en el cubo
• Destroy: detener el troyano

Los resultados de la ejecución de los comandos anteriores se comunican al C2 a través de solicitudes HTTP.


Group-IB dice que la versión de Android del troyano realiza más actividades maliciosas que en iOS debido a las mayores restricciones de seguridad de Apple. Además, en Android, el troyano utiliza más de 20 aplicaciones falsas diferentes como tapadera.

Por ejemplo, GoldPickaxe también puede ejecutar comandos en Android para acceder a SMS, navegar por el sistema de archivos, realizar clics en la pantalla, cargar las 100 fotos más recientes del álbum de la víctima, descargar e instalar paquetes adicionales y servir notificaciones falsas.


El uso de los rostros de las víctimas para el fraude bancario es una suposición de Group-IB, también corroborada por la policía tailandesa, basada en el hecho de que muchas instituciones financieras agregaron controles biométricos el año pasado para transacciones superiores a cierta cantidad.

Es esencial aclarar que, si bien GoldPickaxe puede robar imágenes de teléfonos iOS y Android que muestran el rostro de la víctima y engañar a los usuarios para que revelen su rostro en video a través de ingeniería social, el malware no secuestra los datos de Face ID ni explota ninguna vulnerabilidad en los dos sistemas operativos móviles.

Los datos biométricos almacenados en los enclaves seguros de los dispositivos siguen estando debidamente encriptados y completamente aislados de las aplicaciones en ejecución.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta