Los entendidos en ciberseguridad saben que iOS, el sistema operativo en el que se basa el iPhone, tiene un largo historial de ser casi inmune al malware clásico. Apple ha logrado este status quo limitando su ecosistema móvil a software rigurosamente verificado, mediando el acceso de las aplicaciones a la información del usuario, incorporando la seguridad al silicio y capitalizando el cifrado de datos.
Sin embargo, un reciente descubrimiento ha hecho tambalear esta confianza, ya que ha aparecido el primer malware bancario adaptado a dispositivos iOS, que supone una amenaza significativa para la seguridad financiera y la privacidad de los usuarios. Llamada GoldPickaxe, esta cepa de código dañino representa una mutación del malware para Android GoldDigger que se detectó originalmente en octubre de 2023. Este insidioso linaje ha evolucionado con capacidades mejoradas y ahora apunta a dispositivos Android e iOS por igual.
Modus operandi de GoldPickaxe
Documentado por primera vez por la empresa de ciberseguridad Group-IB, el último eslabón de este troyano recolecta furtivamente datos confidenciales tras infiltrarse en el iPhone de la víctima. La información en riesgo incluye detalles de reconocimiento facial y documentos de identidad, con funciones de interceptación de mensajes de texto que amplían el potencial de robo de información del culpable.
Este botín de datos personales se convierte entonces en un trampolín para obtener acceso fraudulento a aplicaciones bancarias y financieras móviles. Por si fuera poco, los datos biométricos robados se manipulan mal para generar falsificaciones de inteligencia artificial, lo que permite a los delincuentes hacerse pasar por las víctimas y acceder sin autorización a sus cuentas bancarias. Las secuelas pueden ser tan desastrosas como vaciar los fondos de la persona sin delatarla. Dicho esto, el troyano parece hacer realmente honor a su nombre, desde la perspectiva de sus amos.
El único aspecto positivo de esta inquietante historia es que el impacto de GoldPickaxe se limita actualmente a Vietnam y Tailandia. Sin embargo, su limitado alcance geográfico no disminuye su potencial de daño generalizado. Como suele ocurrir con las campañas de malware, el éxito de su explotación anima a los malhechores a ampliar geográficamente sus operaciones. Lo que los investigadores están presenciando podría ser una prueba antes de un despliegue más amplio en los entornos iOS y Android en regiones de habla inglesa como Estados Unidos y Canadá.
Evolución de los mecanismos de propagación
La estrategia de propagación de GoldPickaxe pone de manifiesto la adaptabilidad de las tácticas, técnicas y procedimientos (TTP) de los delincuentes, sobre todo a la hora de sortear las barreras de entrada al estricto territorio de aplicaciones de Apple. La amenaza empezó a circular a través de TestFlight, la plataforma de pruebas de aplicaciones móviles del gigante tecnológico. Este tipo de prácticas abusivas no podían pasar desapercibidas durante mucho tiempo y, como era de esperar, el programa acabó siendo eliminado de TestFlight.
Sin embargo, esto no detuvo la campaña, ya que sus operadores pasaron a utilizar técnicas de ingeniería social para lavar el cerebro a los usuarios e inducirlos a instalar perfiles falsos de gestión de dispositivos móviles (MDM). Por cierto, MDM es un servicio legítimo utilizado en las redes empresariales para controlar sus entornos móviles de forma centralizada. No es de extrañar que las funciones de supervisión que se encuentran bajo su capó puedan jugar a favor de los delincuentes si la víctima cae en su esquema fraudulento que implica una serie de sitios web fraudulentos. Una vez en vigor, estos perfiles otorgan a los hackers el control sobre los dispositivos comprometidos, amplificando así la magnitud de la amenaza.
Atribuido a un actor de amenazas conocido como GoldFactory, la creación y distribución de GoldPickaxe y sus derivados ponen de relieve la naturaleza lucrativa de la ciberdelincuencia dirigida a los proveedores de servicios financieros digitales. Los últimos acontecimientos también indican la aparición de una variante apodada GoldDiggerPlus que lleva el daño un paso más allá al ser capaz de realizar llamadas de voz a los infectados en tiempo real. Cabe destacar que GoldPickaxe y GoldDiggerPlus comparten la táctica de filtrar los datos recopilados al almacenamiento en la nube de Alibaba.
Cómo mantenerse a salvo de GoldPickaxe
Una estrategia centrada en iOS tan impactante como ésta probablemente ya esté en el radar de los ingenieros de Apple. Antes de que salga una solución, los usuarios deben tomar medidas de inmediato para fortalecer sus defensas de forma proactiva, y las medidas de mitigación se derivan de las peculiaridades de la propagación de GoldPickaxe.
En primer lugar, evita instalar aplicaciones a través de la plataforma TestFlight a menos que conozcas bien al desarrollador. Esta campaña ha demostrado que el material que se puede descargar de la App Store oficial de Apple parece someterse a comprobaciones más escrupulosas que las disponibles a través del software de prueba de código en cuestión. En segundo lugar, sólo añada perfiles MDM si su empresa lo exige para un smartphone proporcionado por la empresa.
Por último, un consejo general es mantenerse alerta. Fomenta tu conocimiento de la seguridad personal para identificar y evitar la ingeniería social, el phishing y otras estafas. La historia de GoldPickaxe ha demostrado que incluso una sofisticada cadena de infección depende de la acción del usuario en una determinada etapa; por lo tanto, es imperativo ser razonablemente paranoico sobre las recomendaciones de extraños.
Este sigiloso troyano ha abierto nuevos caminos y podría servir de pionero para brotes similares en el futuro, por lo que es hora de que los usuarios de iPhone aumenten su nivel de seguridad. Además, la filosofía del jardín amurallado de Apple no es inmaculada, por lo que es responsabilidad del usuario medio mantener sus dispositivos a salvo.