Gold Pickaxe, un nouveau logiciel malveillant, circule à la fois sur iOS et Android. Il met à mal la fiabilité d’un système de verrouillage biométrique pourtant considéré comme sûr : celui de la reconnaissance du visage.
Beaucoup d’utilisateurs de smartphones sous Android ou iOS utilisent la reconnaissance faciale pour déverrouiller leur appareil : non seulement cette solution est très rapide à mettre en place, mais en plus, elle semble tout à fait sûre, puisque personne ne possède le même visage.
Cependant, cette certitude est mise à mal par la découverte d’un nouveau malware qui circule à la fois sur iOS et sur Android. Nommé Gold Pickaxe, celui-ci a pour objectif de voler les données bancaires de ses victimes. Et comme il cible pour le moment des pays d’Asie du Sud-Est, où la reconnaissance faciale est très répandue au sein des applications bancaires et gouvernementales, il a trouvé un moyen de « voler » le visage de ses cibles.
Un véritable phishing de visages
C’est le groupe d’experts en sécurité Group-IB qui a mis le doigt sur Gold Pickaxe. Le malware prend place au cœur d’une vaste campagne d’escroquerie ayant démarré en juin dernier. À la base, c’est avant tout Android qui est ciblé avec un malware nommé GoldDigger, qui a été suivi par GoldDiggerPlus puis GoldKefu. GoldPickaxe, qui cible quant à lui Android et iOS, a fait son apparition en octobre 2023.
Les hackers agissent via la bonne vieille technique de l’hameçonnage et se présentent, par mail, comme des agents bancaires ou des fonctionnaires gouvernementaux qui ont besoin que les victimes se connectent sur une application pour régler différents problèmes urgents. Ils sont alors invités à télécharger l’application Digital Pension sur Android, ou TestFlight pour iOS. Ces deux applications sont infectées par Gold Pickaxe, et c’est là que le piège se referme, et que malware se met à agir comme un cheval de Troie qui moissonne le contenu du smartphone à la recherche de données personnelles et de photos.
En plus, les victimes peuvent recevoir certaines demandes de l’application, sur un ton parfois menaçant : cela peut être lié à une demande de photo de pièce d’identité, de photo de visage pour identification… De quoi constituer un dossier complet d’usurpation d’identité.
Les photos ainsi récupérées sont ensuite utilisées par les hackers pour générer des deepfakes qui peuvent servir à tromper les applications bancaires et gouvernementales parfaitement légitimes. Et là, c’est la porte ouverte à des détournements d’argent et à des contournements administratifs potentiellement très graves.
Faut-il s’inquiéter de ce malware en France ?
Comme indiqué plus haut, pour le moment, Gold Pickaxe fait surtout des dégâts en Asie du Sud-Est. En France, l’identification par le visage n’est jamais utilisée par les applications bancaires, qui privilégient l’empreinte digitale dans le meilleur des cas.
Par ailleurs, Gold Pickaxe n’exploite pas de faille de sécurité au sein d’Android ou d’iOS : il s’agit uniquement d’un travail d’ingénierie sociale, ce qui signifie que ce sont les victimes qui tombent dans le piège et donnent accès à leurs informations aux pirates. Comme toujours, en faisant preuve de prudence, il est tout à fait possible d’esquiver la menace.