{"id":4904,"date":"2024-02-15T19:38:47","date_gmt":"2024-02-15T22:38:47","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=4904"},"modified":"2025-12-09T17:00:58","modified_gmt":"2025-12-09T20:00:58","slug":"troyano-ios-001","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/troyano-ios-001\/","title":{"rendered":"Troyano iOS roba tu cara: en 2024 vuelve la fiebre del oro"},"content":{"rendered":"

Group-IB, una empresa l\u00edder en la creaci\u00f3n de tecnolog\u00edas de ciberseguridad para investigar, prevenir y combatir el crimen digital, ha descubierto un nuevo troyano iOS dise\u00f1ado para robar datos de reconocimiento facial de los usuarios, documentos de identidad e interceptar SMS.<\/h2>\n

El troyano, apodado GoldPickaxe.iOS por la unidad de Inteligencia de Amenazas de Group-IB, ha sido atribuido a un actor de amenazas de habla china denominado GoldFactory.<\/p>\n

Son responsable de desarrollar una suite de troyanos bancarios altamente sofisticados que tambi\u00e9n incluye los anteriormente descubiertos GoldDigger y los reci\u00e9n identificados GoldDiggerPlus, GoldKefu y GoldPickaxe para Android.<\/p>\n

\"Troyano<\/a>
Troyano iOS<\/figcaption><\/figure>\n

Para explotar los datos biom\u00e9tricos robados, el actor de amenazas utiliza servicios de intercambio de rostros de inteligencia artificial para crear deepfakes reemplazando los rostros de las v\u00edctimas por los suyos.<\/p>\n

Este m\u00e9todo podr\u00eda ser utilizado por ciberdelincuentes para obtener acceso no autorizado a la cuenta bancaria de la v\u00edctima, una nueva t\u00e9cnica de fraude, nunca antes vista por los investigadores de Group-IB.<\/p>\n

Los troyanos de GoldFactory<\/strong> apuntan a la regi\u00f3n de Asia-Pac\u00edfico, espec\u00edficamente a Tailandia y Vietnam, suplantando a bancos locales y organizaciones gubernamentales, imaginemos que apunten estos troyanos a Latam, estar\u00edamos muy complicados<\/strong>.<\/p>\n

El descubrimiento de Group-IB tambi\u00e9n marca una rara instancia de malware dirigido al sistema operativo m\u00f3vil de Apple.<\/p>\n

La descripci\u00f3n t\u00e9cnica detallada de los troyanos, un an\u00e1lisis de sus capacidades t\u00e9cnicas y la lista de indicadores relevantes de compromiso se pueden encontrar en la \u00faltima publicaci\u00f3n de blog de Group-IB.<\/p>\n

La nueva era de la fiebre del oro en Asia-Pac\u00edfico<\/h3>\n

El informe de Group-IB sobre GoldDigger lanzado en octubre de 2023 sugiri\u00f3 que la expansi\u00f3n de GoldDigger se extender\u00eda m\u00e1s all\u00e1 de Vietnam.<\/p>\n

En menos de un mes, la unidad de Inteligencia de Amenazas de Group-IB identific\u00f3 una nueva variante de malware iOS dirigida a v\u00edctimas de Tailandia, posteriormente llamada GoldPickaxe.iOS.<\/p>\n

Junto con el troyano iOS, el equipo de Group-IB identific\u00f3 una versi\u00f3n de Android de GoldPickaxe, llamada GoldPickaxe.Android.<\/p>\n

En febrero de 2024, surgieron noticias de que un ciudadano vietnamita fue v\u00edctima de malware.<\/p>\n

La persona llev\u00f3 a cabo las operaciones solicitadas por la aplicaci\u00f3n, incluido un escaneo de reconocimiento facial. Como resultado, los ciberdelincuentes retiraron dinero equivalente a m\u00e1s de 40,000 USD.<\/p>\n

Aunque Group-IB no tiene evidencia directa de la distribuci\u00f3n de GoldPickaxe en Vietnam, la caracter\u00edstica \u00fanica mencionada en las noticias sugiere que GoldPickaxe probablemente haya llegado a Vietnam.<\/p>\n

En total, Group-IB identific\u00f3 cuatro familias de troyanos y mantuvo la convenci\u00f3n de nombres utilizando el prefijo Gold para el malware reci\u00e9n descubierto como una representaci\u00f3n simb\u00f3lica de que han sido desarrollados por GoldFactory.<\/p>\n

El efecto Pico<\/h3>\n

GoldPickaxe.iOS disfrazado como aplicaciones de servicios gubernamentales tailandeses (incluida la aplicaci\u00f3n de Pensi\u00f3n Digital seg\u00fan lo informado por el CERT del Sector Bancario de Tailandia) solicita al usuario crear un perfil biom\u00e9trico facial completo y tomar una foto de su documento de identidad.<\/p>\n

\"Troyano<\/a>
Troyano iOS<\/figcaption><\/figure>\n

Adem\u00e1s, el actor de amenazas solicita el n\u00famero de tel\u00e9fono para obtener m\u00e1s detalles sobre las v\u00edctimas, espec\u00edficamente buscando informaci\u00f3n sobre las cuentas bancarias asociadas con la v\u00edctima.<\/p>\n

La estrategia de distribuci\u00f3n adoptada por GoldPickaxe.iOS se destaca. Inicialmente aprovechando la plataforma de prueba de aplicaciones m\u00f3viles de Apple, TestFlight, el actor de amenazas cambi\u00f3 a un enfoque m\u00e1s avanzado despu\u00e9s de la eliminaci\u00f3n de su aplicaci\u00f3n maliciosa de la plataforma.<\/p>\n

    \n
  1. Ingenier\u00eda Social de M\u00faltiples Etapas<\/strong>: GoldFactory emplea un enfoque sofisticado de ingenier\u00eda social que implica varias etapas para manipular a las v\u00edctimas. Esto puede comenzar con la distribuci\u00f3n de mensajes o correos electr\u00f3nicos enga\u00f1osos que incitan a las personas a realizar ciertas acciones, como hacer clic en enlaces o descargar archivos adjuntos.<\/li>\n
  2. Instalaci\u00f3n del Perfil de Administraci\u00f3n de Dispositivos M\u00f3viles (MDM)<\/strong>: Una vez que las v\u00edctimas son enga\u00f1adas, se les persuade para que instalen un perfil de MDM en sus dispositivos. Este perfil puede parecer leg\u00edtimo y ofrecer supuestas ventajas, como acceso a ciertas funciones exclusivas o mejoras en la seguridad.<\/li>\n
  3. Concesi\u00f3n de Permisos y Control Completo<\/strong>: Al instalar el perfil de MDM, las v\u00edctimas conceden al actor de amenazas un control completo sobre sus dispositivos. Esto significa que el ciberdelincuente puede realizar una variedad de acciones, como instalar aplicaciones, borrar datos de forma remota o rastrear la ubicaci\u00f3n del dispositivo.<\/li>\n
  4. Explotaci\u00f3n de Funcionalidades del MDM<\/strong>: Una vez que el actor de amenazas tiene acceso a trav\u00e9s del perfil de MDM, puede aprovechar las caracter\u00edsticas y capacidades que ofrece esta herramienta de gesti\u00f3n de dispositivos. Por ejemplo, pueden instalar aplicaciones maliciosas de forma remota, controlar las configuraciones del dispositivo o recopilar informaci\u00f3n confidencial almacenada en \u00e9l.<\/li>\n
  5. Uso Malintencionado de las Funciones de MDM<\/strong>: Las caracter\u00edsticas ofrecidas por el perfil de MDM, como el borrado remoto, el seguimiento de dispositivos y la gesti\u00f3n de aplicaciones, se utilizan de manera malintencionada para llevar a cabo actividades ilegales, como la distribuci\u00f3n de malware o el robo de datos.<\/li>\n<\/ol>\n

    GoldFactory emplea un sofisticado esquema de ingenier\u00eda social para persuadir a las v\u00edctimas para que instalen un perfil de MDM en sus dispositivos, otorgando as\u00ed al actor de amenazas un control completo que luego se aprovecha para llevar a cabo actividades maliciosas.<\/p>\n

    Este enfoque destaca la importancia de la concienciaci\u00f3n sobre seguridad cibern\u00e9tica y la necesidad de ser cauteloso al interactuar con correos electr\u00f3nicos, mensajes o solicitudes sospechosas en l\u00ednea.<\/p>\n

    \"Troyano<\/a>
    Troyano iOS<\/figcaption><\/figure>\n

    Es importante destacar que GoldPickaxe.iOS es el primer troyano iOS observado por Group-IB que combina las siguientes funcionalidades: recopilaci\u00f3n de datos biom\u00e9tricos de las v\u00edctimas, documentos de identidad, interceptaci\u00f3n de SMS y enrutamiento de tr\u00e1fico a trav\u00e9s de los dispositivos de las v\u00edctimas.<\/p>\n

    Su contraparte de Android tiene a\u00fan m\u00e1s funcionalidades que su equivalente de iOS, debido a m\u00e1s restricciones y la naturaleza cerrada de iOS.<\/p>\n

    GoldPickaxe no roba directamente dinero del tel\u00e9fono de la v\u00edctima. En cambio, recopila toda la informaci\u00f3n necesaria de la v\u00edctima para crear deepfakes y acceder aut\u00f3nomamente a la aplicaci\u00f3n bancaria de la v\u00edctima.<\/p>\n

    El reconocimiento facial es utilizado activamente por las organizaciones financieras tailandesas para la verificaci\u00f3n de transacciones y la autenticaci\u00f3n de inicio de sesi\u00f3n.<\/p>\n

    Durante la investigaci\u00f3n, Group-IB estableci\u00f3 que el troyano posee inequ\u00edvocamente la capacidad de solicitar a las v\u00edctimas que escaneen sus rostros y env\u00eden fotos de identificaci\u00f3n. Sin embargo, los investigadores de Group-IB no han observado casos documentados de ciberdelincuentes que utilicen estos datos robados para obtener acceso no autorizado a las cuentas bancarias de las v\u00edctimas en la naturaleza.<\/p>\n

    La hip\u00f3tesis de Group-IB sugiere que los ciberdelincuentes est\u00e1n utilizando sus propios dispositivos, supuestamente Android, para iniciar sesi\u00f3n en las cuentas bancarias de las v\u00edctimas.<\/p>\n

    La polic\u00eda tailandesa confirm\u00f3 la suposici\u00f3n de Group-IB, afirmando que los ciberdelincuentes est\u00e1n instalando aplicaciones bancarias en sus propios dispositivos Android y utilizando escaneos de rostros capturados para evadir controles de reconocimiento facial y llevar a cabo accesos no autorizados a las cuentas de las v\u00edctimas.<\/p>\n

    \n
    \n
    \n
    \n
    \n
    \n
    \n
    \n
    \n
    \n
    \n
    \n

    El panorama de amenazas cibern\u00e9ticas contin\u00faa evolucionando, y lamentablemente, una nueva variante del troyano GoldDigger ha surgido, presentando un desaf\u00edo a\u00fan mayor para la seguridad de los dispositivos Android. Tras el descubrimiento inicial del malware GoldDigger en junio de 2023, la Unidad de Inteligencia de Amenazas de Group-IB ha identificado esta nueva iteraci\u00f3n avanzada: GoldDiggerPlus.<\/p>\n

    Lo preocupante de GoldDiggerPlus es su sofisticaci\u00f3n y su capacidad para operar en conjunto con otro troyano incrustado, denominado GoldKefu. Este \u00faltimo, como su nombre lo sugiere, est\u00e1 relacionado con el servicio al cliente, un t\u00e9rmino que se repite en su c\u00f3digo y que parece ser su funci\u00f3n principal.<\/p>\n

    A diferencia de su predecesor, que se basaba en el Servicio de Accesibilidad, GoldDiggerPlus y GoldKefu han adoptado una nueva t\u00e1ctica: la suplantaci\u00f3n de identidad en l\u00ednea. Esta estrategia implica la creaci\u00f3n de falsificaciones web que imitan a 10 bancos vietnamitas, con el objetivo de enga\u00f1ar a los usuarios para que ingresen sus credenciales bancarias. Una vez que el troyano identifica una aplicaci\u00f3n bancaria en el dispositivo infectado, lanza una p\u00e1gina de inicio de sesi\u00f3n falsa que imita perfectamente a la aplicaci\u00f3n leg\u00edtima.<\/p>\n

    Sin embargo, la sofisticaci\u00f3n de GoldKefu no se detiene ah\u00ed. Adem\u00e1s de robar informaci\u00f3n sensible, este troyano tiene la capacidad de enviar alertas falsas a las v\u00edctimas e incluso de realizar llamadas telef\u00f3nicas en tiempo real. Cuando se activa una alerta falsa y la v\u00edctima intenta contactar al servicio al cliente, GoldKefu verifica si es dentro del horario laboral de los ciberdelincuentes. Si es as\u00ed, el malware intentar\u00e1 conectar a la v\u00edctima con un operador disponible.<\/p>\n

    Este nivel de interacci\u00f3n y manipulaci\u00f3n es altamente preocupante, ya que demuestra la capacidad del malware para adaptarse y perfeccionar sus t\u00e1cticas con el fin de maximizar el \u00e9xito de sus ataques. La vigilancia continua y las medidas de seguridad proactivas son m\u00e1s importantes que nunca para protegerse contra estas amenazas en evoluci\u00f3n.<\/p>\n

    Por lo tanto, se cree que GoldFactory podr\u00eda estar contratando operadores proficientes en tailand\u00e9s y vietnamita o incluso posiblemente dirigiendo un centro de llamadas.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n

    \u00bfQui\u00e9n est\u00e1 encontrando oro?<\/h3>\n

    Group-IB atribuye todo el grupo de amenazas a un \u00fanico y altamente sofisticado actor de amenazas de habla china denominado GoldFactory. Se encontraron cadenas de depuraci\u00f3n en chino en todas las variantes de malware y sus paneles de C2 tambi\u00e9n estaban en chino.<\/p>\n

    GoldFactory es un equipo ingenioso experto en diversas t\u00e1cticas, incluyendo la suplantaci\u00f3n, el registro de teclas de accesibilidad, sitios web bancarios falsos, alertas bancarias falsas, pantallas de llamadas falsas, recopilaci\u00f3n de datos de identidad y reconocimiento facial. El equipo est\u00e1 compuesto por grupos de desarrollo y operadores separados dedicados a regiones espec\u00edficas.<\/p>\n

    El anuncio de la pol\u00edtica de Tailandia sobre la verificaci\u00f3n biom\u00e9trica facial, lanzada en marzo de 2023 y aplicada en julio, coincidi\u00f3 con el descubrimiento de los primeros rastros de GoldPickaxe a principios de octubre. Un total de tres meses fue suficiente para que el grupo investigara, desarrollara y probara nuevas caracter\u00edsticas de recopilaci\u00f3n de datos de reconocimiento facial.<\/p>\n

    Adem\u00e1s, durante el an\u00e1lisis de los troyanos de GoldFactory, los investigadores de Group-IB encontraron similitudes entre el malware de la banda y Gigabud, un disruptivo troyano bancario que apunta a Tailandia, Vietnam, as\u00ed como a algunos pa\u00edses de Am\u00e9rica Latina. Sin embargo, no hay suficiente evidencia para atribuir el desarrollo inicial de Gigabud a GoldFactory en este momento, y, seg\u00fan los investigadores de Group-IB, es probable que GoldFactory est\u00e9 involucrado en su distribuci\u00f3n.<\/p>\n

    La declaraci\u00f3n de Andrey Polovinkin, Analista de Malware del equipo de Inteligencia de Amenazas de Group-IB, sugiere que el aumento de los troyanos m\u00f3viles en la regi\u00f3n de Asia-Pac\u00edfico puede estar relacionado con las actividades de GoldFactory. Aqu\u00ed hay una explicaci\u00f3n m\u00e1s detallada:<\/p>\n

      \n
    1. Aumento de Troyanos M\u00f3viles en Asia-Pac\u00edfico<\/strong>: La regi\u00f3n de Asia-Pac\u00edfico ha experimentado un aumento en la incidencia de troyanos m\u00f3viles, que son tipos de malware dise\u00f1ados espec\u00edficamente para dispositivos m\u00f3viles, como tel\u00e9fonos inteligentes y tabletas.<\/li>\n
    2. GoldFactory como Factor Causal<\/strong>: Seg\u00fan Polovinkin, este aumento puede atribuirse a las actividades de GoldFactory. Esto sugiere que el grupo o individuo detr\u00e1s de GoldFactory ha estado llevando a cabo campa\u00f1as de malware dirigidas espec\u00edficamente a la regi\u00f3n de Asia-Pac\u00edfico, lo que resulta en un aumento en la propagaci\u00f3n de troyanos m\u00f3viles en esta \u00e1rea geogr\u00e1fica.<\/li>\n
    3. Posibles Motivaciones y M\u00e9todos<\/strong>: Las motivaciones detr\u00e1s de las actividades de GoldFactory podr\u00edan incluir el robo de informaci\u00f3n personal y financiera, el espionaje cibern\u00e9tico o la generaci\u00f3n de ingresos a trav\u00e9s de actividades delictivas en l\u00ednea. El grupo podr\u00eda estar utilizando diversos m\u00e9todos, como la ingenier\u00eda social, la distribuci\u00f3n de aplicaciones maliciosas o la explotaci\u00f3n de vulnerabilidades de seguridad, para infectar dispositivos m\u00f3viles en la regi\u00f3n.<\/li>\n
    4. Impacto en la Seguridad Cibern\u00e9tica<\/strong>: El aumento de los troyanos m\u00f3viles en la regi\u00f3n de Asia-Pac\u00edfico plantea preocupaciones significativas en t\u00e9rminos de seguridad cibern\u00e9tica para individuos, empresas y organizaciones en la regi\u00f3n. Estos tipos de malware pueden comprometer la privacidad y la seguridad de los datos, causar p\u00e9rdidas financieras y da\u00f1ar la reputaci\u00f3n de las v\u00edctimas afectadas.<\/li>\n<\/ol>\n

      La declaraci\u00f3n de Polovinkin destaca la importancia de la vigilancia continua y las medidas de seguridad proactivas para protegerse contra las amenazas cibern\u00e9ticas, como los troyanos m\u00f3viles, especialmente en regiones donde se observa un aumento en la actividad maliciosa, como la regi\u00f3n de Asia-Pac\u00edfico.<\/p>\n

      “La banda tiene procesos bien definidos y madurez operativa y constantemente mejora su conjunto de herramientas para alinearse con el entorno objetivo, mostrando una alta competencia en el desarrollo de malware.<\/p>\n

      El descubrimiento de un troyano iOS sofisticado resalta la naturaleza evolutiva de las amenazas cibern\u00e9ticas dirigidas a la regi\u00f3n de Asia-Pac\u00edfico.<\/p>\n

      En nuestra evaluaci\u00f3n, parece inminente que GoldPickaxe pronto llegar\u00e1 a las costas de Vietnam, mientras que sus t\u00e9cnicas y funcionalidades ser\u00e1n incorporadas activamente en malware dirigido a otras regiones.”<\/p>\n

      Para un examen detallado de las t\u00e1cticas, t\u00e9cnicas y procedimientos de GoldFactory, junto con la lista de indicadores de compromiso, visite la \u00faltima publicaci\u00f3n de blog de Group-IB.<\/p>\n

      Las recomendaciones proporcionadas por los expertos de Group-IB<\/a> son fundamentales tanto para las organizaciones financieras como para los usuarios finales, ya que ayudan a prevenir el robo de informaci\u00f3n financiera y proteger contra actividades fraudulentas en l\u00ednea. Aqu\u00ed est\u00e1 una explicaci\u00f3n m\u00e1s detallada de estas recomendaciones:<\/p>\n

      Para Bancos y Organizaciones Financieras:<\/strong><\/h3>\n
        \n
      1. Implementar un Sistema de Monitoreo de Sesiones de Usuario<\/strong>: Este sistema, como la Protecci\u00f3n contra Fraudes de Group-IB, permite detectar la presencia de malware y bloquear sesiones de usuario an\u00f3malas antes de que ingresen cualquier informaci\u00f3n personal. Esto ayuda a proteger las cuentas de los clientes y a prevenir el acceso no autorizado a las mismas.<\/li>\n<\/ol>\n

        Para Usuarios Finales:<\/strong><\/h3>\n
          \n
        1. Evitar Hacer Clic en Enlaces Sospechosos<\/strong>: Los usuarios deben ser cautelosos al hacer clic en enlaces en correos electr\u00f3nicos, mensajes o sitios web sospechosos, ya que podr\u00edan llevar a sitios fraudulentos dise\u00f1ados para robar informaci\u00f3n personal o financiera.<\/li>\n
        2. Utilizar Tiendas de Aplicaciones Oficiales<\/strong>: Descargar aplicaciones solo desde tiendas de aplicaciones oficiales, como la App Store de Apple o Google Play Store, reduce significativamente el riesgo de descargar aplicaciones maliciosas que puedan comprometer la seguridad del dispositivo.<\/li>\n
        3. Revisar los Permisos de Aplicaciones<\/strong>: Antes de instalar una aplicaci\u00f3n, los usuarios deben revisar los permisos que solicita la aplicaci\u00f3n para asegurarse de que sean apropiados para su funci\u00f3n. Si una aplicaci\u00f3n solicita permisos excesivos o no relacionados con su prop\u00f3sito, es mejor evitar instalarla.<\/li>\n
        4. Evitar Agregar Contactos Desconocidos<\/strong>: Agregar contactos desconocidos en aplicaciones de mensajer\u00eda o redes sociales puede exponer a los usuarios a estafadores y ataques de ingenier\u00eda social. Es importante limitar la comunicaci\u00f3n y compartir informaci\u00f3n solo con contactos de confianza.<\/li>\n
        5. Verificar la Legitimidad de las Comunicaciones Bancarias<\/strong>: Los usuarios deben ser esc\u00e9pticos ante correos electr\u00f3nicos, mensajes o llamadas que soliciten informaci\u00f3n personal o financiera, y siempre verificar la autenticidad de estas comunicaciones directamente con su banco utilizando los canales oficiales de contacto.<\/li>\n
        6. Actuar R\u00e1pidamente en Caso de Sospecha de Fraude<\/strong>: Si un usuario sospecha de actividades fraudulentas o detecta transacciones no autorizadas en su cuenta bancaria, debe actuar r\u00e1pidamente contactando a su banco para reportar el incidente y tomar las medidas necesarias para proteger su cuenta.<\/li>\n<\/ol>\n

          Siguiendo estas recomendaciones, tanto las organizaciones financieras como los usuarios finales pueden mejorar significativamente su seguridad en l\u00ednea y reducir el riesgo de ser v\u00edctimas de fraudes y ataques cibern\u00e9ticos.<\/p>\n

          Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/h5>\n

           <\/p>\n

          NO TE PIERDAS EL \u00daLTIMO IT CONNECT SECURE STREAM<\/strong><\/p>\n