Gold Pickaxe dizajniran je za prikupljanje podataka o vašem licu, kako bi mogli biti zlorabljeni za prijevare. Riječ je o zlonamjernoj mobilnoj aplikaciji koju je prva uočila sigurnosna tvrtka Group-IB, a koja je dio znatno veće i dugotrajnije kampanje Gold Factory.

Gold Pickaxe obično se maskira kao legitimna aplikacija kako bi ljudi nasjeli i preuzeli ju. Smatra se trojancem za operativne sustave Android i iOS.

Kako bi proširili Gold Pickaxe, kriminalci šalju poruke u kojima se lažno predstavljaju kao državni službenici. Obično u poruci nastoje korisnika nagnati na preuzimanje lažne aplikacije.

Primjerice, u jednom je slučaju bila prerušena u digitalnog upravitelja mirovinama na lažnom izdanju Googleove trgovine aplikacijama Play.

Kako radi Gold Pickaxe?

Nakon što žrtva preuzme zaraženu aplikaciju, ona odmah počinje prikupljati podatke. To, između ostalog, uključuje pregledavanje tekstualnih poruka, skeniranje web prometa i pregledavanje datoteka.

Žrtve se također potiče na instalaciju profila za upravljanje mobilnim uređajima (Mobile Device Management, MDM). Time kriminalci dobivaju gotovo potpunu kontrolu nad preuzetim uređajem jer MDM omogućuje pristup značajkama kao što su daljinsko brisanje, praćenje uređaja, upravljanje aplikacijama i još mnogo toga...

Od sličnih zlonamjernih softvera Gold Pickaxe se razlikuje po tome što nastoji dobiti sliku lica žrtve, što može postići na jedan od dva načina.

Prvi je izravan zahtjev korisniku za skeniranje lica. Pošto obično liči na aplikacije sa službenim odobrenjem vlasti, taj zahtjev ne zvuči neuobičajeno. Kada korisnik prijavi svoje lice putem aplikacije, ona grabi podatke i šalje ih natrag prevarantu.

Drugi način je neizravna krađa podataka o licu žrtve. Pojedina izdanja Gold Pickaxea povremeno će snimiti fotografiju kroz prednju kameru u nadi kako će uhvatiti vaše lice. Ako to ne može učiniti, umjesto toga može poslati fotografije spremljene na vašem telefonu ne bi li pronašla neku s vašim licem.

Zasad su korisnici iPhonea nešto manje izloženi riziku jer Gold Pickaxe ne može, primjerice, preuzeti biometrijske podatke o licu od servisa kao što je Face ID.

Što prevaranti mogu učiniti s vašim licem?

Gold Pickaxe prikuplja podatke o licu kako bi pomogao u hakiranju bankovnih podataka. Neke banke ne dopuštaju korisnicima slanje velikih novčanih iznosa bez skeniranja lica, pa otimanje podataka o licu žrtve omogućuje prevarantima da to izbjegnu.

Također mogu koristiti podatke o vašem licu za izradu deepfakeova i prijevara koje je moguće izvesti pomoću njih.

Ako su se uspjeli dokopati i drugih ključnih podataka, kriminalci mogu koristiti vaše lice za krađu novca i druge imovine te vašeg identiteta.

Kako se zaštititi od napada skeniranjem lica?

Za početak, budite oprezni i nemojte preuzimati aplikacije iz sumnjivih izvora, kao ni nasjedati na socijalni inženjering. Kada instalirate aplikaciju, svakako pročitajte sva dopuštenja. Ako aplikacija koja ne treba vidjeti vaše lice ili okolinu traži dopuštenja za kameru, postupajte s njom oprezno.

Također možete instalirati antivirusnu aplikaciju kako biste spriječili zlonamjerne aplikacije u svom sustavu. Postavite dodatne mjere zaštite, poput dvostupanjske provjere, piše Make Use Of.