病毒概述
近日,天融信谛听实验室监测到一款名叫goldpickaxe的 “人脸劫持”犯罪软件,它可以窃取用户的面部识别等生物特征数据、拦截短信以及代理设备流量。goldpickaxe木马病毒支持ios和android版本,是目前发现的首个ios木马病毒。不同于传统的窃取资金方式,goldpickaxe木马病毒并不直接从受害者手机中盗取资金,而是通过收集受害者信息来创建深度伪造视频,并自动访问受害者的银行应用程序,允许黑客未经授权访问受害者银行账户。
目前goldpickaxe活跃在越南和泰国,不过幕后攻击者已经开始扩大活动范围,天融信会持续监控该团伙动态并积极做好安全防御工作。
病毒分析
goldfactory开发的这套复杂木马goldpickaxe自2023年中期以来一直活跃,其受害者分布在越南和泰国,目前已发现的所有木马均处于活跃的进化阶段。
goldpickaxe有android版本和ios版本,其中android版本会使用virbox加壳保护,具备较为完善的恶意功能。由于ios平台的封闭性和权限检查相对严格,ios版本已解压且没有规避技术,但功能相比android版本较少。
goldfactory的诈骗流程大致如下:
一、通过短信、电话、邮件等多种方式诱骗用户访问虚假登录页面
二、受害者下载并安装goldpickaxe伪装的虚假“数字养老金”应用程序
三、受害者被goldpickaxe引导输入私密信息,并提示受害者录制视频作为确认材料
四、受害者录制的视频被通过换脸人工智能服务创建成深度伪造视频
五、黑客未经授权访问银行账户并窃取资金
goldpickaxe.ios木马将自己伪装成泰国政府服务应用程序并通过滥用mdm计划进行传播。mdm是一种全面的集中式凯发官网入口首页的解决方案,用于管理和保护组织内的移动设备(例如智能手机和平板电脑)。mdm的主要目标是简化设备管理任务、增强安全性、确保遵守组织策略并部署应用程序。
黑客通过社会工程欺骗用户下载mdm配置文件。一旦安装此配置文件,黑客就会获得对设备的控制权限,例如远程擦除、设备跟踪和应用程序管理。黑客利用这些功能来安装goldpickaxe恶意应用程序并获取他们所需的信息。
goldpickaxe 采用与命令和控制 (c2) 服务器的双重通信方法,利用websocket接收命令,利用http发送执行结果。在android设备中websocket通常使用端口8282,而ios设备中通常使用端口8383。接收到命令后,恶意软件将执行的结果通过 http 传输到各自的 api 端点,所有命令均采用json格式。通过websocket从c2接收的命令未加密,但发送到 http api端点的结果使用rsa进行加密。最终goldpickaxe会将受感染设备的数据泄露到阿里云中存储。
goldpickaxe.android使用的http api具体如下:
goldpickaxe的另一个功能是它创建一个socks5代理服务器和快速反向代理 (frp)。goldpickaxe启动后,goldpickaxe.ios会使用jetfire库连接到websocket 。该库用于实现可以在后台无阻塞通信的websocket客户端。如果连接成功,它将在本地主机 ( 127.0.0.1:1081 ) 上启动socks5服务器,同时启动反向代理以启用连接。
在开始之前,goldpickaxe会发出http请求以获取代理服务器配置。服务器配置存储在手机documents文件夹中的newconfig.ini文件,之后受感染的手机会收到包含受欺诈控制的服务器地址的配置。它使用以下模板,该模板可在ipa文件中找到。
黑客使用github上提供的轻量级项目——microsocks来实现代理功能。
程序引用了wuotto/ottokeyboardview开源安全键盘模拟银行app。
为了集成用go编写的frp库,goldpickaxe使用golang 移动绑定模块以适用于android和ios,这有助于获取网络地址转换 (nat) 或防火墙后面的本地服务器信息。之后所有流量都会通过同时启动的电话代理服务器进行重定向。
goldpickaxe.android对受害者的控制命令列表如下:
该团伙会要求用户拍照来窃取身份证照片、从受害者相册中检索照片并捕获面部识别数据,之后采用人工智能换脸技术利用窃取到的生物识别数据,以获得受害者的银行应用程序授权。开发人员使用google的ml kit进行人脸检测,当发出“面部”命令时,将进行面部扫描,录制面部视频时,会给出一些眨眼、微笑、向左、向右、向下点头、向上和张嘴等指令。这种方法通常用于创建全面的面部生物特征档案,这些视频和图片会被上传到云端存储点。
人脸识别的实现程序faceviewcontroller中调用google facedetector工具集进行人脸识别,并对获取的人脸视频以h264视频格式上传到c2服务器。
在idcardviewcontroller中实现获取身份证正反面信息,并保存为图片上传。
综上所述,黑客利用goldpickaxe木马从受害者设备中提取资金的方案概括如下:
goldfactory的手机银行木马仍在不断发展。例如,android恶意软件包含未实现的处理程序或未使用的功能。在此提醒广大用户切勿轻易相信陌生链接和应用程序,以防上当受骗。
防护建议
不要点击可疑链接。避免通过电子邮件、短信和社交媒体帖子中的恶意链接感染移动恶意软件。
通过官方平台下载应用程序。不轻易运行不明程序和压缩文件、不在非正规平台下载软件。
安装新应用程序时请仔细检查所请求的权限,并在应用程序请求辅助功能服务时保持高度警惕。
不要在常用的聊天软件中随意添加陌生人。
如果存疑,请直接致电银行,而不是点击手机屏幕上的银行警报窗口。
附录
样本iocs列表:
天融信产品防御配置
♦ 天融信edr系统防御配置
1、通过微隔离策略加强访问控制,降低横向感染风险;
2、开启文件实时监控功能,可有效预防和查杀该勒索病毒;
3、开启系统加固功能,可有效拦截该勒索病毒对系统关键位置进行破坏和篡改。
♦ 天融信僵尸网络木马和蠕虫监测与处置系统配置
1、升级最新威胁情报库,开启威胁情报恶意文件检测和捕获功能,实时检测和捕获网络中传输的goldpickaxe新型人脸信息窃取病毒;
2、开启威胁情报日志记录和报警功能;
3、可配置旁路阻断或者天融信防火墙联动,拦截goldpickaxe新型人脸信息窃取病毒的网络传播。
天融信产品获取方式
天融信edr单机版下载地址:
http://edr.topsec.com.cn
天融信僵尸网络木马和蠕虫监测与处置系统威胁情报库下载地址:
ftp://ftp.topsec.com.cn
- 关键词标签:
- 天融信 goldpickaxe ai病毒入侵