Dans le thriller psychologique de 1997, "Face/Off", le personnage de John Travolta échange chirurgicalement son visage avec celui de Nicolas Cage pour découvrir où se trouve une bombe à Los Angeles. Bien que la chirurgie de transplantation faciale ait évolué depuis lors, ce niveau de précision et de sophistication dans l'échange de visages réels n'est pas encore une réalité. 

Mais dans le monde technologique des "deepfakes", le "vol de votre visage" n'est plus une menace hypothétique.

Le cheval de Troie Android GoldDiggerpublié en juin 2023, qui utilise des logiciels malveillants pour voler des identifiants bancaires, a une nouvelle variante appelée GoldPickaxe qui permet de vider les comptes bancaires des utilisateurs. Il est apparu en octobre 2023, avec des versions non seulement pour les appareils Android mais aussi pour les appareils iOS.

Ce n'est pas la première fois que l'iOS d'Apple présente des failles de sécurité, ce qui en surprend plus d'un, mais pas Verimatrix. S'il n'est pas facile d'introduire des logiciels malveillants dans l'App Store d'Apple, c'est tout de même faisable. Cependant, l'élément de reconnaissance faciale de ce logiciel malveillant est peut-être le premier de son genre.

Exposer la méthode d'infiltration de GoldPickaxe

Pour lancer ces attaques, les victimes potentielles reçoivent des messages de phishing et de smishing et sont persuadées de transférer leurs conversations de messagerie instantanée vers des applications telles que LINE. Ensuite, les criminels envoient des adresses URL trompeuses qui conduisent à l'installation de GoldPickaxe sur les appareils. 

Une fois ce cheval de Troie installé sur un iPhone ou un téléphone Android, il peut recueillir des données de reconnaissance faciale, des informations d'identification et des messages texte capturés. Pour aggraver la situation, ces données biométriques sont ensuite utilisées pour créer des simulacres d'IA afin de se faire passer pour des victimes et de détourner des fonds de leurs comptes bancaires et d'autres applications financières. 

Il existe également une nouvelle variante du logiciel malveillant appelée GoldDiggerPlus. Le "plus" signifie que les pirates peuvent appeler leurs victimes sur l'appareil affecté.

Se faire passer pour un fonctionnaire et utiliser l'application de messagerie LINE, très populaire localement, sont des moyens régulièrement utilisés pour inciter les victimes à contacter leurs agresseurs. Les attaques ont permis de dérober des dizaines de milliers de dollars, et ce depuis le début du mois au Viêt Nam et en Thaïlande. 

Cependant, l'approche des acteurs de la menace a varié en fonction des victimes et des nationalités. Des rapports ont montré que les pirates informatiques disent aux victimes potentielles qu'elles doivent déployer une nouvelle application pour continuer à recevoir des paiements de pension du ministère thaïlandais des finances ou, dans un autre exemple, un remboursement d'impôt sur les factures d'énergie. À partir de là, les victimes sont incitées à télécharger GoldPickaxe.

Comment l'ingénierie sociale alimente la fraude "deepfake

Il convient de noter que GoldPickaxe ne s'empare pas des données biométriques Face ID ou Android et n'exploite aucune faiblesse du système d'exploitation. Ces données anonymes transforment les traits du visage en une réplique mathématique plutôt que de collecter les images réelles, qui sont enregistrées localement en toute sécurité sur l'appareil. 

GoldPickaxe, cependant, obtient ses données grâce à l'ingénierie sociale, par laquelle les acteurs de la menace convainquent leurs victimes d'installer un programme malveillant de gestion des appareils mobiles (MDM). Le groupe explore ensuite les photographies personnelles des utilisateurs afin d'estimer les données faciales, ou bien il incite la personne ciblée à enregistrer et à divulguer une vidéo de son visage. Cela permet au groupe d'accéder aux comptes bancaires de leurs victimes, grâce à des imitations profondes de leurs visages présentées à leurs systèmes de reconnaissance faciale.

Étant donné que le 2FA des appareils est souvent déverrouillé à l'aide de la reconnaissance faciale, fonctionnant sur le même appareil mobile qu'une application bancaire, par exemple, un pirate n'a besoin que d'une imitation profonde du visage de la victime. Si les attaquants considèrent le canular GoldPickaxe comme une mission toujours lucrative, ce n'est qu'une question de temps avant que cette approche malveillante ne se répande davantage. 

Aujourd'hui plus que jamais, les propriétaires d'applications mobiles doivent se protéger contre de telles tactiques. Après tout, si cela peut se produire avec Apple, beaucoup supposent que cela peut se produire n'importe où. Ces attaques ont bel et bien lieu dans le monde réel, et l'on peut s'attendre à ce que les cybercriminels continuent d'utiliser ces combinaisons de technologies et d'approches astucieuses pour se remplir les poches.