En el thriller psicológico de 1997, "Face/Off", el personaje de John Travolta se cambia quirúrgicamente la cara por la del personaje de Nicolas Cage para averiguar dónde se encuentra una bomba en Los Ángeles. Aunque la cirugía de trasplante de cara ha evolucionado desde entonces, este nivel de precisión y sofisticación en el intercambio de rostros reales aún no es una realidad. 

Pero, en el mundo tecnológico de los deepfakes, "robarte la cara" ya no es una amenaza hipotética.

El troyano de Android GoldDiggerlanzado en junio de 2023, que utiliza malware para robar credenciales bancarias, tiene una nueva variación llamada GoldPickaxe que realmente limpia las cuentas bancarias de los usuarios. Apareció en octubre de 2023, con versiones no solo para dispositivos Android, sino también para dispositivos iOS.

Para sorpresa de muchos, pero no de Verimatrix, esta no es la primera vez que iOS de Apple ha mostrado rastros de vulnerabilidades de seguridad. Aunque no es fácil introducir malware en la App Store de Apple, es ciertamente factible. Sin embargo, el elemento de reconocimiento facial de este malware es quizás el primero de este tipo.

Exponiendo el método de infiltración de GoldPickaxe

Para poner en marcha estos ataques, se envían mensajes de phishing y smishing a las víctimas potenciales y se les convence para que cambien las conversaciones de mensajería instantánea a aplicaciones como LINE. A continuación, los delincuentes envían URL engañosas que conducen a la instalación de GoldPickaxe en los dispositivos. 

Una vez que este troyano se instala en un iPhone o teléfono Android, puede recopilar datos de reconocimiento facial, credenciales de identidad y mensajes de texto capturados. Para agravar aún más la situación, estos datos biométricos se utilizan para crear falsificaciones de inteligencia artificial con el fin de hacerse pasar por las víctimas y malversar fondos de sus cuentas bancarias y otras aplicaciones financieras. 

También existe una nueva variante del malware llamada GoldDiggerPlus. El "plus" significa que los hackers pueden llamar a sus víctimas desde el dispositivo afectado.

Hacerse pasar por funcionarios públicos y utilizar la popular aplicación de mensajería local LINE han sido las herramientas utilizadas para que las víctimas se pongan en contacto con sus autores. Los ataques se han saldado con el robo de decenas de miles de dólares, y eso solo en lo que va de mes en Vietnam y Tailandia. 

Sin embargo, el enfoque de los actores de la amenaza ha variado en función de las distintas víctimas y nacionalidades. Los informes han demostrado que los hackers dicen a las posibles víctimas que deben desplegar una nueva aplicación para seguir recibiendo los pagos de pensiones del Ministerio de Finanzas tailandés o, en otro ejemplo, un reembolso de impuestos en las facturas de energía. A partir de ahí, han convencido a las víctimas para que descarguen GoldPickaxe.

Cómo la ingeniería social alimenta el fraude de deepfake

Cabe destacar que GoldPickaxe no se apodera de los datos biométricos de Face ID o Android ni explota ninguna debilidad del sistema operativo. Estos datos anónimos transforman los rasgos faciales en una réplica matemática en lugar de recopilar imágenes reales, que se guardan de forma segura localmente en el dispositivo. 

GoldPickaxe, sin embargo, obtiene sus datos de la ingeniería social, mediante la cual los actores de la amenaza convencen a sus víctimas para que instalen un programa malicioso de gestión de dispositivos móviles (MDM). A continuación, el grupo explora las fotografías personales de los usuarios para estimar los datos faciales, o engañan a la persona objetivo para que grabe y divulgue un vídeo de su rostro. Esto permite al grupo acceder a las cuentas bancarias de sus víctimas, con deepfakes de los rostros de las víctimas presentados a sus sistemas de reconocimiento facial.

Dado que el 2FA de los dispositivos suele desbloquearse mediante reconocimiento facial, ejecutándose en el mismo dispositivo móvil que, por ejemplo, una aplicación bancaria, una deepfake del rostro de la víctima es todo lo que necesita un atacante. Si los atacantes encuentran que el engaño de GoldPickaxe es una misión lucrativa constante, es sólo cuestión de tiempo que este enfoque malicioso se extienda aún más. 

Ahora más que nunca, los propietarios de aplicaciones móviles deben protegerse contra estas tácticas. Después de todo, si esto puede ocurrir con Apple, muchos supondrían que puede ocurrir en cualquier parte. De hecho, estos ataques están ocurriendo en el mundo real, y cabe esperar que los ciberdelincuentes sigan empleando estas combinaciones de tecnología y enfoques inteligentes para llenar sus billeteras.