病毒概述

近日，天融信諦聽實(shí)驗(yàn)室監(jiān)測(cè)到一款名叫GoldPickaxe的 “人臉劫持”犯罪軟件，它可以竊取用戶的面部識(shí)別等生物特征數(shù)據(jù)、攔截短信以及代理設(shè)備流量。GoldPickaxe木馬病毒支持iOS和Android版本，是目前發(fā)現(xiàn)的首個(gè)iOS木馬病毒。不同于傳統(tǒng)的竊取資金方式，GoldPickaxe木馬病毒并不直接從受害者手機(jī)中盜取資金，而是通過收集受害者信息來創(chuàng)建深度偽造視頻，并自動(dòng)訪問受害者的銀行應(yīng)用程序，允許黑客未經(jīng)授權(quán)訪問受害者銀行賬戶。

目前GoldPickaxe活躍在越南和泰國，不過幕后攻擊者已經(jīng)開始擴(kuò)大活動(dòng)范圍，天融信會(huì)持續(xù)監(jiān)控該團(tuán)伙動(dòng)態(tài)并積極做好安全防御工作。

病毒分析

GoldFactory開發(fā)的這套復(fù)雜木馬GoldPickaxe自2023年中期以來一直活躍，其受害者分布在越南和泰國，目前已發(fā)現(xiàn)的所有木馬均處于活躍的進(jìn)化階段。

GoldPickaxe有Android版本和iOS版本，其中Android版本會(huì)使用Virbox加殼保護(hù)，具備較為完善的惡意功能。由于iOS平臺(tái)的封閉性和權(quán)限檢查相對(duì)嚴(yán)格，iOS版本已解壓且沒有規(guī)避技術(shù)，但功能相比Android版本較少。

GoldFactory的詐騙流程大致如下：

一、通過短信、電話、郵件等多種方式誘騙用戶訪問虛假登錄頁面

二、受害者下載并安裝GoldPickaxe偽裝的虛假“數(shù)字養(yǎng)老金”應(yīng)用程序

三、受害者被GoldPickaxe引導(dǎo)輸入私密信息，并提示受害者錄制視頻作為確認(rèn)材料

四、受害者錄制的視頻被通過換臉人工智能服務(wù)創(chuàng)建成深度偽造視頻

五、黑客未經(jīng)授權(quán)訪問銀行賬戶并竊取資金

GoldPickaxe.iOS木馬將自己偽裝成泰國政府服務(wù)應(yīng)用程序并通過濫用MDM計(jì)劃進(jìn)行傳播。MDM是一種全面的集中式解決方案，用于管理和保護(hù)組織內(nèi)的移動(dòng)設(shè)備（例如智能手機(jī)和平板電腦）。MDM的主要目標(biāo)是簡(jiǎn)化設(shè)備管理任務(wù)、增強(qiáng)安全性、確保遵守組織策略并部署應(yīng)用程序。

黑客通過社會(huì)工程欺騙用戶下載MDM配置文件。一旦安裝此配置文件，黑客就會(huì)獲得對(duì)設(shè)備的控制權(quán)限，例如遠(yuǎn)程擦除、設(shè)備跟蹤和應(yīng)用程序管理。黑客利用這些功能來安裝GoldPickaxe惡意應(yīng)用程序并獲取他們所需的信息。

GoldPickaxe 采用與命令和控制 (C2) 服務(wù)器的雙重通信方法，利用Websocket接收命令，利用HTTP發(fā)送執(zhí)行結(jié)果。在Android設(shè)備中Websocket通常使用端口8282，而iOS設(shè)備中通常使用端口8383。接收到命令后，惡意軟件將執(zhí)行的結(jié)果通過 HTTP 傳輸?shù)礁髯缘?API 端點(diǎn)，所有命令均采用JSON格式。通過Websocket從C2接收的命令未加密，但發(fā)送到 HTTP API端點(diǎn)的結(jié)果使用rsa進(jìn)行加密。最終GoldPickaxe會(huì)將受感染設(shè)備的數(shù)據(jù)泄露到阿里云中存儲(chǔ)。

GoldPickaxe.Android使用的HTTP API具體如下：

GoldPickaxe的另一個(gè)功能是它創(chuàng)建一個(gè)SOCKS5代理服務(wù)器和快速反向代理 (FRP)。GoldPickaxe啟動(dòng)后，GoldPickaxe.iOS會(huì)使用JetFire庫連接到Websocket 。該庫用于實(shí)現(xiàn)可以在后臺(tái)無阻塞通信的Websocket客戶端。如果連接成功，它將在本地主機(jī) ( 127.0.0.1:1081 ) 上啟動(dòng)SOCKS5服務(wù)器，同時(shí)啟動(dòng)反向代理以啟用連接。

在開始之前，GoldPickaxe會(huì)發(fā)出HTTP請(qǐng)求以獲取代理服務(wù)器配置。服務(wù)器配置存儲(chǔ)在手機(jī)Documents文件夾中的newconfig.ini文件，之后受感染的手機(jī)會(huì)收到包含受欺詐控制的服務(wù)器地址的配置。它使用以下模板，該模板可在IPA文件中找到。

黑客使用GitHub上提供的輕量級(jí)項(xiàng)目——MicroSocks來實(shí)現(xiàn)代理功能。

程序引用了WuOtto/OttoKeyboardView開源安全鍵盤模擬銀行APP。

為了集成用Go編寫的FRP庫，GoldPickaxe使用Golang 移動(dòng)綁定模塊以適用于Android和iOS，這有助于獲取網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 或防火墻后面的本地服務(wù)器信息。之后所有流量都會(huì)通過同時(shí)啟動(dòng)的電話代理服務(wù)器進(jìn)行重定向。

GoldPickaxe.Android對(duì)受害者的控制命令列表如下：

該團(tuán)伙會(huì)要求用戶拍照來竊取身份證照片、從受害者相冊(cè)中檢索照片并捕獲面部識(shí)別數(shù)據(jù)，之后采用人工智能換臉技術(shù)利用竊取到的生物識(shí)別數(shù)據(jù)，以獲得受害者的銀行應(yīng)用程序授權(quán)。開發(fā)人員使用Google的ML Kit進(jìn)行人臉檢測(cè)，當(dāng)發(fā)出“面部”命令時(shí)，將進(jìn)行面部掃描，錄制面部視頻時(shí)，會(huì)給出一些眨眼、微笑、向左、向右、向下點(diǎn)頭、向上和張嘴等指令。這種方法通常用于創(chuàng)建全面的面部生物特征檔案，這些視頻和圖片會(huì)被上傳到云端存儲(chǔ)點(diǎn)。

人臉識(shí)別的實(shí)現(xiàn)程序FaceViewController中調(diào)用google faceDetector工具集進(jìn)行人臉識(shí)別，并對(duì)獲取的人臉視頻以H264視頻格式上傳到C2服務(wù)器。

在IDcardViewController中實(shí)現(xiàn)獲取身份證正反面信息，并保存為圖片上傳。

綜上所述，黑客利用GoldPickaxe木馬從受害者設(shè)備中提取資金的方案概括如下：

GoldFactory的手機(jī)銀行木馬仍在不斷發(fā)展。例如，Android惡意軟件包含未實(shí)現(xiàn)的處理程序或未使用的功能。在此提醒廣大用戶切勿輕易相信陌生鏈接和應(yīng)用程序，以防上當(dāng)受騙。

防護(hù)建議

不要點(diǎn)擊可疑鏈接。避免通過電子郵件、短信和社交媒體帖子中的惡意鏈接感染移動(dòng)惡意軟件。

通過官方平臺(tái)下載應(yīng)用程序。不輕易運(yùn)行不明程序和壓縮文件、不在非正規(guī)平臺(tái)下載軟件。

安裝新應(yīng)用程序時(shí)請(qǐng)仔細(xì)檢查所請(qǐng)求的權(quán)限，并在應(yīng)用程序請(qǐng)求輔助功能服務(wù)時(shí)保持高度警惕。

不要在常用的聊天軟件中隨意添加陌生人。

如果存疑，請(qǐng)直接致電銀行，而不是點(diǎn)擊手機(jī)屏幕上的銀行警報(bào)窗口。

附錄

樣本IOCs列表：

天融信產(chǎn)品防御配置

? 天融信EDR系統(tǒng)防御配置

1、通過微隔離策略加強(qiáng)訪問控制，降低橫向感染風(fēng)險(xiǎn)；

2、開啟文件實(shí)時(shí)監(jiān)控功能，可有效預(yù)防和查殺該勒索病毒;

3、開啟系統(tǒng)加固功能，可有效攔截該勒索病毒對(duì)系統(tǒng)關(guān)鍵位置進(jìn)行破壞和篡改。

? 天融信僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測(cè)與處置系統(tǒng)配置

1、升級(jí)最新威脅情報(bào)庫，開啟威脅情報(bào)惡意文件檢測(cè)和捕獲功能，實(shí)時(shí)檢測(cè)和捕獲網(wǎng)絡(luò)中傳輸?shù)腉oldPickaxe新型人臉信息竊取病毒；

2、開啟威脅情報(bào)日志記錄和報(bào)警功能；

3、可配置旁路阻斷或者天融信防火墻聯(lián)動(dòng)，攔截GoldPickaxe新型人臉信息竊取病毒的網(wǎng)絡(luò)傳播。

天融信產(chǎn)品獲取方式

天融信EDR單機(jī)版下載地址：

http://edr.topsec.com.cn

天融信僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測(cè)與處置系統(tǒng)威脅情報(bào)庫下載地址:

ftp://ftp.topsec.com.cn