Onderzoekers hebben malware voor Android en iOS ontdekt die een gezichtsopname van slachtoffers maakt, waarmee vervolgens een deepfake wordt gecreëerd voor het plegen van bankfraude, zo meldt securitybedrijf Group-IB. De malware wordt GoldPickaxe genoemd en is in Thailand en Vietnam aangetroffen.

De Bank of Thailand kondigde vorig jaar maatregelen aan om fraude tegen te gaan. Thaise banken moeten voor het verhogen van de transactielimiet of uitvoeren van transacties vanaf 1300 euro een biometrische controle uitvoeren, zoals een gezichtsscan. De makers van de GoldPickaxe-malware hebben hiervoor een oplossing bedacht.

Infectiemthode

De eerste stap in de aanval is het infecteren van Androidtelefoons en iPhones. Hiervoor doen de oplichters zich voor als de Thaise overheid en sturen sms-berichten of bellen slachtoffers op. Vervolgens wordt gevraagd om de communicatie via de Line-chatapp voort te zetten. De aanvallers sturen het slachtoffer via de chatapp een link naar de malware. In het geval van Android wordt er gelinkt naar een website die op Google Play lijkt. Vervolgens moet het slachtoffer het malafide APK-bestand downloaden en installeren.

Voor het infecteren van iOS-gebruikers maakten de aanvallers eerst gebruik van Apples testplatform TestFlight. Daarmee is het mogelijk om apps buiten de Apple App Store om te installeren. Slachtoffers ontvangen een ogenschijnlijk onschuldige link die naar https://testflight.apple.com/join/ wijst. Door het gebruik van het Apple-domein zouden mensen kunnen denken dat het om een goedaardige app gaat. In werkelijkheid is het malware. Het lijkt erop dat Apple misbruik van TestFlight voor de verspreiding van de malware inmiddels heeft ontdekt, want de malafide apps zijn er niet meer te vinden, zo stellen de onderzoekers.

Daarop besloten de aanvallers een andere aanpak, waarbij ze slachtoffers zover weten te krijgen om een Mobile Device Management (MDM) profiel te installeren. Daarmee krijgen de aanvallers controle over de iPhone en kunnen zo met medewerking van het slachtoffer de uiteindelijke malware installeren, waarvan het slachtoffer denkt dat het om een legitieme app gaat.

Eenmaal actief kan de malafide app sms-berichten onderscheppen, maar ook om het identiteitsdocument van slachtoffers vragen. Tevens zal de malware het slachtoffer vragen om een video van zichzelf op te nemen. De opgenomen video wordt dan bij 'face-swapping artificial intelligence services' gebruikt voor het maken van deepfake video's. Via deze deepfake is het dan mogelijk om de bankcontrole te omzeilen en fraude te plegen, aldus Group-IB. Eerder gaf ook de Thaise politie een waarschuwing aan iPhone-gebruikers om geen malafide configuratieprofielen te installeren.