Skip to main content

16 Fév, 2024

Un cheval de Troie bancaire exploite la biométrie faciale pour les Deepfakes de l’IA

Un cheval de Troie bancaire exploite la biométrie faciale pour les Deepfakes de l’IA

Le logiciel malveillant GoldPickaxe peut enregistrer le visage de l’utilisateur et rassembler des vidéos utilisées dans des crimes Deepfake

Un groupe de cybercriminalité chinois spécialisé dans la fraude financière continue d’étendre les fonctionnalités et la portée de ses chevaux de Troie bancaires avancés, qu’il utilise désormais pour collecter et voler des données biométriques, ont prévenu les chercheurs.

La société de cybersécurité Group-IB, dans un rapport publié jeudi, a déclaré que le gang – avec le nom de code GoldFactory – avait développé un nouveau cheval de Troie, baptisé GoldPickaxe, disponible dans des variantes Android et iOS conçues pour récolter des informations personnelles, y compris des profils faciaux biométriques, à partir d’appareils téléphones.

« Pour exploiter les données biométriques volées, l’acteur malveillant utilise des services d’échange de visage pilotés par l’IA pour créer des deepfakes », en échangeant son propre visage contre celui de la victime, a déclaré Group-IB. « Ces données, combinées aux documents d’identité et à la capacité d’intercepter les SMS, permettent aux cybercriminels d’accéder sans autorisation au compte bancaire de la victime. »

Le cheval de Troie bancaire GoldPickaxe semble être déguisé en l’une des deux douzaines d’applications légitimes, comme l’application gouvernementale « Digital Pension », et peut voler des photos stockées sur l’appareil ainsi que demander des informations aux utilisateurs au cours d’un prétendu processus d’intégration, le ont déclaré les chercheurs.

L’application demande des informations telles que le nom et le numéro de téléphone de la victime, puis l’invite à photographier les deux côtés d’une carte d’identité officielle, ce qui permet à l’application de prendre des photos de son visage. Il télécharge ensuite toutes les images dans un compartiment cloud contrôlé par un attaquant.

« Lors de l’enregistrement d’une vidéo de leurs visages, quelques instructions seront données, comme cligner des yeux, sourire, faire face à gauche, faire face à droite, hocher la tête vers le bas, vers le haut et ouvrir la bouche », a déclaré Group-IB. « Cette approche est couramment utilisée pour créer un profil biométrique facial complet. Ces vidéos et images sont téléchargées dans le compartiment cloud. »

Étant donné qu’Apple iOS bloque l’installation d’applications non approuvées, les attaquants tentent d’inciter socialement leurs victimes à installer leurs logiciels malveillants, soit via le service en ligne TestFlight d’Apple pour tester les applications bêta, soit en permettant à leur appareil d’être inscrit dans un programme de gestion d’appareils mobiles contrôlé par l’attaquant. qui peut être utilisé pour distribuer automatiquement des applications aux appareils.

Jusqu’à présent, les attaquants semblent utiliser GoldPickaxe exclusivement contre des cibles thaïlandaises. « Selon notre évaluation, il semble imminent que GoldPickaxe atteindra bientôt les côtes vietnamiennes, tandis que ses techniques et fonctionnalités seront activement intégrées à des logiciels malveillants ciblant d’autres régions », a déclaré Andrey Polovinkin, analyste des logiciels malveillants du Groupe IB. « La découverte d’un cheval de Troie iOS sophistiqué met en évidence la nature évolutive des cybermenaces ciblant la région Asie-Pacifique. »

La décision de voler des informations pouvant être utilisées pour tromper les contrôles de sécurité biométriques fait suite à la Banque de Thaïlande, qui a ordonné en mars 2023 aux banques du pays de se conformer aux nouvelles exigences de sécurité des services bancaires mobiles.

En partie, la banque centrale exige désormais que les banques utilisent l’authentification biométrique chaque fois que quelqu’un tente d’ouvrir un nouveau compte bancaire ou chaque fois que des clients tentent d’effectuer un transfert d’argent numérique d’une valeur supérieure à 50 000 bahts – 1 380 dollars – par transaction ou de modifier leur limite de transfert quotidienne à être supérieur à 50 000 bahts.

Les attaques de GoldFactory datent d’au moins juin 2023. Group-IB a déclaré que c’est à ce moment-là qu’il a détecté pour la première fois une application cheval de Troie portant le nom de code GoldDigger utilisée pour infecter les smartphones Android. L’application ciblait plus de 50 applications financières, portefeuilles électroniques et applications de crypto-monnaie vietnamiens. Le cheval de Troie était distribué via des e-mails de phishing et des SMS spam déguisés pour apparaître comme s’ils provenaient de sources légitimes.

Depuis lors, selon les chercheurs, les attaquants ont élargi leur ciblage pour inclure la Thaïlande et ont continué à affiner leurs logiciels malveillants pour Android, en ajoutant de nouvelles souches baptisées GoldDiggerPlus et GoldKefu. Ils ont également développé une version de GoldPickaxe qui cible la Thaïlande, disponible en variantes Android et iOS et qui pourrait être une version beaucoup plus sophistiquée de GoldDigger. L’utilisation par la société de sécurité du mot « or » dans les noms des souches de logiciels malveillants indique qu’elles remontent toutes au même groupe.

Le code de GoldFactory chevauche un autre type de malware, baptisé Gigabud, qui cible depuis 2022 les utilisateurs d’environ 100 institutions financières situées en Thaïlande et au Vietnam, ainsi qu’en Indonésie, aux Philippines et au Pérou, a déclaré Group-IB. On ne sait pas encore si Gigabud et GoldFactory sont directement connectés.

Andrey Polovinkin, de Group-IB, a déclaré qu’il y avait eu une augmentation de l’utilisation de chevaux de Troie bancaires mobiles contre des victimes dans la région Asie-Pacifique et qu’une grande partie, sinon la totalité, de cette activité était liée à GoldFactory. « Le gang dispose de processus bien définis et d’une maturité opérationnelle et améliore constamment son ensemble d’outils pour s’aligner sur l’environnement ciblé, démontrant une grande maîtrise du développement de logiciels malveillants », a-t-il déclaré.

https://www.bankinfosecurity.com/banking-trojan-harvests-facial-biometrics-for-ai-deepfakes-a-24370