病毒概述

近日，天融信諦聽實驗室監(jiān)測到一款名叫GoldPickaxe的 “人臉劫持”犯罪軟件，它可以竊取用戶的面部識別等生物特征數(shù)據(jù)、攔截短信以及代理設(shè)備流量。GoldPickaxe木馬病毒支持iOS和Android版本，是目前發(fā)現(xiàn)的首個iOS木馬病毒。不同于傳統(tǒng)的竊取資金方式，GoldPickaxe木馬病毒并不直接從受害者手機中盜取資金，而是通過收集受害者信息來創(chuàng)建深度偽造視頻，并自動訪問受害者的銀行應用程序，允許黑客未經(jīng)授權(quán)訪問受害者銀行賬戶。

目前GoldPickaxe活躍在越南和泰國，不過幕后攻擊者已經(jīng)開始擴大活動范圍，天融信會持續(xù)監(jiān)控該團伙動態(tài)并積極做好安全防御工作。

病毒分析

GoldFactory開發(fā)的這套復雜木馬GoldPickaxe自2023年中期以來一直活躍，其受害者分布在越南和泰國，目前已發(fā)現(xiàn)的所有木馬均處于活躍的進化階段。

GoldPickaxe有Android版本和iOS版本，其中Android版本會使用Virbox加殼保護，具備較為完善的惡意功能。由于iOS平臺的封閉性和權(quán)限檢查相對嚴格，iOS版本已解壓且沒有規(guī)避技術(shù)，但功能相比Android版本較少。

GoldFactory的詐騙流程大致如下：

一、通過短信、電話、郵件等多種方式誘騙用戶訪問虛假登錄頁面

二、受害者下載并安裝GoldPickaxe偽裝的虛假“數(shù)字養(yǎng)老金”應用程序

三、受害者被GoldPickaxe引導輸入私密信息，并提示受害者錄制視頻作為確認材料

四、受害者錄制的視頻被通過換臉人工智能服務創(chuàng)建成深度偽造視頻

五、黑客未經(jīng)授權(quán)訪問銀行賬戶并竊取資金

GoldPickaxe.iOS木馬將自己偽裝成泰國政府服務應用程序并通過濫用MDM計劃進行傳播。MDM是一種全面的集中式解決方案，用于管理和保護組織內(nèi)的移動設(shè)備（例如智能手機和平板電腦）。MDM的主要目標是簡化設(shè)備管理任務、增強安全性、確保遵守組織策略并部署應用程序。

黑客通過社會工程欺騙用戶下載MDM配置文件。一旦安裝此配置文件，黑客就會獲得對設(shè)備的控制權(quán)限，例如遠程擦除、設(shè)備跟蹤和應用程序管理。黑客利用這些功能來安裝GoldPickaxe惡意應用程序并獲取他們所需的信息。

GoldPickaxe 采用與命令和控制 (C2) 服務器的雙重通信方法，利用Websocket接收命令，利用HTTP發(fā)送執(zhí)行結(jié)果。在Android設(shè)備中Websocket通常使用端口8282，而iOS設(shè)備中通常使用端口8383。接收到命令后，惡意軟件將執(zhí)行的結(jié)果通過 HTTP 傳輸?shù)礁髯缘?API 端點，所有命令均采用JSON格式。通過Websocket從C2接收的命令未加密，但發(fā)送到 HTTP API端點的結(jié)果使用rsa進行加密。最終GoldPickaxe會將受感染設(shè)備的數(shù)據(jù)泄露到阿里云中存儲。

GoldPickaxe.Android使用的HTTP API具體如下：

GoldPickaxe的另一個功能是它創(chuàng)建一個SOCKS5代理服務器和快速反向代理 (FRP)。GoldPickaxe啟動后，GoldPickaxe.iOS會使用JetFire庫連接到Websocket 。該庫用于實現(xiàn)可以在后臺無阻塞通信的Websocket客戶端。如果連接成功，它將在本地主機 ( 127.0.0.1:1081 ) 上啟動SOCKS5服務器，同時啟動反向代理以啟用連接。

在開始之前，GoldPickaxe會發(fā)出HTTP請求以獲取代理服務器配置。服務器配置存儲在手機Documents文件夾中的newconfig.ini文件，之后受感染的手機會收到包含受欺詐控制的服務器地址的配置。它使用以下模板，該模板可在IPA文件中找到。

黑客使用GitHub上提供的輕量級項目——MicroSocks來實現(xiàn)代理功能。

程序引用了WuOtto/OttoKeyboardView開源安全鍵盤模擬銀行APP。

為了集成用Go編寫的FRP庫，GoldPickaxe使用Golang 移動綁定模塊以適用于Android和iOS，這有助于獲取網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 或防火墻后面的本地服務器信息。之后所有流量都會通過同時啟動的電話代理服務器進行重定向。

GoldPickaxe.Android對受害者的控制命令列表如下：

該團伙會要求用戶拍照來竊取身份證照片、從受害者相冊中檢索照片并捕獲面部識別數(shù)據(jù)，之后采用人工智能換臉技術(shù)利用竊取到的生物識別數(shù)據(jù)，以獲得受害者的銀行應用程序授權(quán)。開發(fā)人員使用Google的ML Kit進行人臉檢測，當發(fā)出“面部”命令時，將進行面部掃描，錄制面部視頻時，會給出一些眨眼、微笑、向左、向右、向下點頭、向上和張嘴等指令。這種方法通常用于創(chuàng)建全面的面部生物特征檔案，這些視頻和圖片會被上傳到云端存儲點。

人臉識別的實現(xiàn)程序FaceViewController中調(diào)用google faceDetector工具集進行人臉識別，并對獲取的人臉視頻以H264視頻格式上傳到C2服務器。

在IDcardViewController中實現(xiàn)獲取身份證正反面信息，并保存為圖片上傳。

綜上所述，黑客利用GoldPickaxe木馬從受害者設(shè)備中提取資金的方案概括如下：

GoldFactory的手機銀行木馬仍在不斷發(fā)展。例如，Android惡意軟件包含未實現(xiàn)的處理程序或未使用的功能。在此提醒廣大用戶切勿輕易相信陌生鏈接和應用程序，以防上當受騙。

防護建議

不要點擊可疑鏈接。避免通過電子郵件、短信和社交媒體帖子中的惡意鏈接感染移動惡意軟件。

通過官方平臺下載應用程序。不輕易運行不明程序和壓縮文件、不在非正規(guī)平臺下載軟件。

安裝新應用程序時請仔細檢查所請求的權(quán)限，并在應用程序請求輔助功能服務時保持高度警惕。

不要在常用的聊天軟件中隨意添加陌生人。

如果存疑，請直接致電銀行，而不是點擊手機屏幕上的銀行警報窗口。

附錄

樣本IOCs列表：

天融信產(chǎn)品防御配置

? 天融信EDR系統(tǒng)防御配置

1、通過微隔離策略加強訪問控制，降低橫向感染風險；

2、開啟文件實時監(jiān)控功能，可有效預防和查殺該勒索病毒;

3、開啟系統(tǒng)加固功能，可有效攔截該勒索病毒對系統(tǒng)關(guān)鍵位置進行破壞和篡改。

? 天融信僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)配置

1、升級最新威脅情報庫，開啟威脅情報惡意文件檢測和捕獲功能，實時檢測和捕獲網(wǎng)絡(luò)中傳輸?shù)腉oldPickaxe新型人臉信息竊取病毒；

2、開啟威脅情報日志記錄和報警功能；

3、可配置旁路阻斷或者天融信防火墻聯(lián)動，攔截GoldPickaxe新型人臉信息竊取病毒的網(wǎng)絡(luò)傳播。

天融信產(chǎn)品獲取方式

天融信EDR單機版下載地址：

http://edr.topsec.com.cn

天融信僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)威脅情報庫下載地址:

ftp://ftp.topsec.com.cn