Gold Pickaxe恶意软件针对东南亚受害者，窃取人脸数据威胁银行资金安全

一种名为“GoldPickaxe”的新 iOS 和 Android 木马采用社会工程技术针对东南亚国家受害者，诱骗受害者扫描他们的面部和身份证件，这些文件被认为用于生成深度伪造以进行未经授权的银行访问。

Group-IB 发现的这种新恶意软件是黑客组织“GoldFactory”开发的恶意软件套件的一部分，该组织负责“GoldDigger”、“GoldDiggerPlus”和“GoldKefu”等系列恶意软件的运营。

Group-IB 表示，其分析师观察到攻击主要针对亚太地区，主要是泰国和越南。然而，所采用的技术可能在全球范围内有效，并且存在被其他恶意软件采用的危险。

从社会工程攻击开始

“GoldPickaxe”的分发于 2023 年 10 月开始，目前仍在进行中。它被认为是 GoldFactory 活动的一部分，该活动于 2023 年 6 月与 Gold Digger 一起开始。

活动时间线

攻击者通过 LINE 应用程序上的网络钓鱼或短信邮件来接触受害者，这些邮件是用当地语言编写的，冒充政府机构或服务机构。

这些消息试图诱骗他们安装欺诈性应用程序，例如在冒充 Google Play 的网站上托管的虚假“数字养老金”应用程序。

恶意应用程序托管在虚假的 Google Play 网站上，来源：Group-IB

对于 iOS (iPhone) 用户，攻击者最初将目标定向到 TestFlight URL 来安装恶意应用程序，从而使他们能够绕过正常的安全审查流程。

当苹果删除 TestFlight 应用程序时，攻击者转而引诱目标下载恶意移动设备管理 (MDM) 配置文件，该配置文件允许攻击者控制设备。

iOS感染链，来源：Group-IB

“Gold Pickaxe”的主要恶意行为

一旦该木马以虚假应用程序的形式安装到移动设备上，它就会半自主地运行，在后台操纵功能，捕获受害者的人脸数据，拦截传入的短信，请求身份证件，并通过代理网络流量使用“MicroSocks”的受感染设备。

在 iOS 设备上，恶意软件会建立一个 Web 套接字通道来接收以下命令：

• Heartbeat（心跳）：ping 命令和控制（C2）服务器

• init：发送设备信息到C2

• 上传身份信息upload_idcard：要求受害者拍摄身份证照片

• 上传人脸数据：要求受害者拍摄脸部视频

• upgrade：显示虚假的“设备正在使用”消息以防止中断

• 上传album（相册）：同步照片库日期（渗出到云存储桶）

• again_upload：重试将受害者的面部视频上传

• destroy：停止木马

• 执行上述命令的结果通过 HTTP 请求传回 C2。

可能的银行欺诈策略，资料来源：Group-IB

Group-IB表示，由于苹果公司有更高的安全限制，该木马的 Android 版本比 iOS 版本执行更多的恶意活动。

在 Android 上，该木马使用 20 多个不同的虚假应用程序作为掩护。

例如，GoldPickaxe 还可以在 Android 上运行命令来访问短信 SMS、导航文件系统、在屏幕上执行点击、上传受害者相册中的 100 张最新照片、下载并安装其他软件包以及提供虚假通知。

人脸抓拍界面，来源：Group-IB

利用受害者的面部进行银行诈骗是 Group-IB 的假设，这得到了泰国警方的证实，因为许多金融机构去年对超过一定金额的交易增加了生物识别检查。

需要澄清的是，虽然 GoldPickaxe 可以从 iOS 和 Android 手机中窃取显示受害者脸部的图像，并通过社交工程诱骗用户在视频中公开其脸部，但该恶意软件不会劫持 Face ID 数据或利用这两款手机上的任何操作系统漏洞。

存储在设备安全区域上的生物识别数据仍然经过适当加密，并与正在运行的应用程序完全隔离。

完整技术报告：https://www.group-ib.com/blog/goldfactory-ios-trojan/

参考链接：https://www.bleepingcomputer.com/news/security/new-gold-pickaxe-android-ios-malware-steals-your-face-for-fraud/