壹
摘要
人脸识别技术作为身份验证的主要手段,被广泛应用于账户风控、金融交易等场景。
金相狐组织制作投递伪装成泰国省电力局(PEA)应用的仿冒软件。
仿冒软件获得授权后,开始窃取面部特征数据和其他信息。
为了更好的实施金融诈骗,仿冒软件会下载并诱导受害者安装金融监控软件。
金融监控软件执行主控服务器下发的远程指令,监控受害用户金融软件使用情况,进行钓鱼攻击和运行锁定。
最后,金相狐组织通过受害者设备信息和大量的面部特征数据,通过AI换脸或合成等技术即有可能实现异地登录受害用户金融账户,实施转移财产等操作。
此次攻击活动对金融行业安全具有里程碑式的警示意义。
关键词:金相狐组织、人脸识别、面部生物特征数据、泰国省电力局(PEA)、身份证件信息、无障碍服务
贰
序
在当今数字化社会,人脸识别技术与金融领域的密切结合,为我们的生活带来了巨大便利,然而,新的机遇往往带来新的挑战。人脸识别技术作为身份验证的主要手段,被广泛应用于账户风控、金融交易等场景。
在2023年3月,泰国央行发布指示,要求银行在进行以下交易时采用面部生物特征验证来确认身份:单笔交易金额达到50,000泰铢(约合1,430美元)或以上;每日转账超过200,000泰铢;或者将移动设备上的信用转账限额提高到每次交易50,000泰铢以上。这一指示意味着银行在这些情况下不再使用一次性密码(OTP),而是采用面部生物特征验证来加强身份确认的安全性。
此次发现的攻击活动就是黑产团伙针对这一政策定制的新的攻击策略,攻击组织将诱饵恶意软件伪装成泰国省电力局(PEA)应用进行投递,至于为何选此软件,通过查询可知泰国省电力局(PEA)应用在Google Play Store的下载量就达500万+次,而电网交易又是用户生活必须事项。此前版本也常常伪装成泰国政府、金融部门和公共事业公司的相关应用程序,由此可见,这是他们惯用的伪装手段。不同的是攻击者在诱导受害用户安装此类仿冒软件后,还会在使用过程中诱导受害用户安装一个宣称为客服软件的金融监控软件,继而实施更加深入的诈骗活动。
经过深入分析后,我们将这个幕后团伙命名为"金相狐"(GoldenPhysiognomyFox)组织。这个名字不仅仅是一个标签,而是一个对该组织行为和特点的生动描述:"金"代表了他们攫取金钱的目的,"相"则暗示了他们利用人脸识别技术的手段,而"狐"则象征了他们狡猾和欺骗的本质。这个名字既突出了他们的行为特点,又让我们更深入地了解到这个组织的本质。
接下来,让我们深入探讨"金相狐"组织的运作方式和对用户的威胁。
叁
攻击链图
此次攻击活动具有一定的复杂度,从目前我们掌握的情报数据进行分析,整个攻击过程可简要描述如下:
Step 1:金相狐组织制作投递伪装成泰国省电力局(PEA)应用的仿冒软件。
Step 2:受害用户安装仿冒软件后,被诱导授予仿冒软件相关权限。
Step 3:仿冒软件获得授权后,开始窃取面部特征数据和其他信息。
Step 4:仿冒软件将窃取的受害者信息上传到云服务器和主控服务器。
Step 5:同时,仿冒软件还会诱导用户安装金融监控软件,并使用意图开启此软件。
Step 6:金融监控软件也会窃取诸如应用安装列表、设备信息和短信等信息到主控服务器。
Step 7:同时,金融监控软件会接收主控服务器下发的远控指令,在用户使用金融软件时,进行用户金融软件账户密码窃取和锁定金融软件,禁止用户使用的行为,并将相关操作日志上传到主控服务器。
Step 8:最后,金相狐组织通过受害者设备信息和大量的面部特征数据,通过AI换脸或合成等技术即有可能实现异地登录受害用户金融账户,实施转移财产等操作。
肆
仿冒软件分析
在高级威胁攻击中,常见的手法是将诱饵软件伪装成目标人群所需或使用量大的软件,例如政府软件和生活缴费软件。对此仿冒软件进行分析时,我们发现它不仅利用社会工程学手段诱导受害者,还在服务器端对受害者的真实性进行校验,可能通过目标用户电话匹配或官方软件泄露信息验证等手段,在提高目标精准度的同时还会给安全分析人员增加分析成本。
尽管仿冒软件在投递和信息窃取过程中主要使用社工手段,并没有使用漏洞攻击等高破坏性技术手段,看似并不具备什么高级技术能力。然而,在样本分析中,我们发现攻击者采用了多种技术手段进行自我保护和安全分析对抗,例如应用加固、运行环境检测、清单文件混淆和源码字符串加密等。
这次攻击活动中,受害者的面部生物特征数据被上传到云存储,同时将相应材料的云URL上传到主控服务器,而此次攻击中还会尝试将面部生物特征数据直接上传到主控服务器。在没有目标账户或真实账户等测试条件下,我们依托自身技术能力对伪装软件的窃取受害者信息的运行过程和主要功能进行了多维度的分析。
(一)权限申请
随着移动系统对于用户保护的安全升级,应用程序在获取用户信息的时候,大多需要明确申请权限,获得用户授权后才能使用相应功能。而常见的恶意软件往往会申请大量的应用权限,此次攻击使用的仿冒软件申请权限多达29项,这些权限包含无障碍服务、相机、短信等高危权限。
在众多权限中,有一个比较特殊的权限——无障碍服务权限。无障碍服务是一套可以模拟操作的系统级别的API,用户同意之后就可以模拟操作,来控制用户的手机。恶意软件常常通过诱导的方式来获得此权限,下面就该仿冒软件申请此权限做简要说明。
01
无障碍服务权限申请
在正确设置安全密码后,恶意应用会启动系统设置页面申请辅助功能服务,通过社工伪装成安全服务来诱导受害者激活。随后会上传恶意软件被授予权限状态。
申请无障碍服务权限页面如下:
上传权限状态网络数据如下:
受害者开启无障碍功能服务后,显示应用程序激活,等待官方审核,页面如下:
(二)人脸识别材料窃取
金相狐组织的核心是对金融软件的攻击,序中也提到泰国新政的发布,所以此仿冒软件的核心功能则是窃取受害者的人脸识别数据相关材料,继而通过AI相关技术,实现最终的攻击目标。
01
窃取身份证件信息
仿冒软件会通过社工手段诱导受害用户上传自己的身份证件信息,而身份证件信息不仅可以用于金融账户和交易的使用环节,还可能用于提取受害者面部特征数据,所以我们姑且将窃取身份证件信息的行为归为面部特征数据窃取。
上传身份证件照片页面如下:
上传身份证件信息网络数据如下:
仿冒软件将受害者身份证件信息上传到云存储服务器后,会将正反面身份证件信息的云URL上传到主控服务器,方便管理和直接获取。
上传云URL到主控服务器的源码如下:
上传身份证件信息的云URL到主控服务器,网络数据如下:
应用本地存储的身份证件照片在外存储的应用数据目录中,测试示例如下:
02
窃取人脸识别数据
恶意软件的另一主要功能是窃取受害者用于人脸检测识别的面部数据,它们使用Google ML Kit进行人脸检测。当发出“面部”命令时,将进行面部扫描,并记录并上传会话。录制面部视频时,会给出一些例如眨眼、微笑、向左、向右、向下、点头、向上和张嘴等指令,使用这种方法通常用于创建全面的面部生物特征档案。并将这些视频和照片上传到云存储。
面部识别检测页面如下:
上传面部识别视频到云存储的网络数据如下:
同窃取身份证件信息一样,窃取人脸识别视频后同样会将视频的云URL上传到主控服务器,不同的是,此版本的仿冒软件会先尝试将其视频直接上传到主控服务器。
上传人脸识别视频和云URL到主控服务器的源码如下:
上传视频的云URL到主控服务器,网络数据如下:
尝试直接将视频数据上传到主控服务器,网络数据如下:
同样,应用本地存储的人脸识别视频在外存储的应用数据目录中,测试示例如下:
(三)账户钓鱼
在仿冒软件中常常伴随这账户钓鱼,在此次攻击中,虽然并没有发现其获取泰国省电力局应用账户密码的目的,猜测其进行账户钓鱼不仅能够是仿冒应用更像官方应用,也可能在后续或其他的攻击中进行使用。
01
登录
在恶意软件启动后,通常会进行设备信息上传和初始化信息检测等操作,然后进入伪装的登录页面。然而,经过测试发现,填入随意姓名和电话并不能成功登录,服务器响应值为“0”。这表明该服务器具有账号真实性验证功能,可能会通过填入的姓名和电话等信息来验证用户的真实身份,从而阻止非法访问,这种账号真实性验证机制表明攻击者对攻击目标具有一定的选择性,同时也对安全分析人员是一种防护。
登录页面如下:
登录网络数据如下:
02
设置安全密码
如果受害者使用真实账号进行登录,那么随后会进入安全密码设置页面,要求使用6位数字不要重复或连续。
密码设置页面如下:
密码设置网络数据如下:
密码复杂性校验源码如下:
(四)其他信息窃取
仿冒软件窃取了大量的信息,除上面的重要信息外,在整个攻击链中,还有比较重要的信息,如下面所列出的两个恶意采集行为。
01
受害者手机界面监控
受害者授权无障碍服务功能后,设备就被恶意软件监控了,会通过不断上传手机显示UI截图的方式实施监控。
上传照片到云存储,网络数据如下:
上传照片的云URL到主控服务器,网络数据如下:
02
设备安装列表窃取
除上述功能外,恶意软件还会窃取设备已安装应用列表,同时也会将各应用程序图标上传到云存储,这也为后续的精准攻击目标金融软件做准备。
应用列表上传网络数据如下:
应用图标上传网络数据示例如下:
(五)API接口功能
该伪装软件中含有大量的功能,每项功能都对应服务器的开发接口,但金相狐组织的该家族软件近期才开始活跃,仍然处于发展阶段,所以有部分非关键功能并未启用或未发现使用。其API接口功能表如下:
API 接口 | 功能 |
/api/app/uploadvideo | 上传视频到主控服务器 |
/api/app/uploadprogress | 上传云服务器视频上传进度 |
/api/app/uploadidcard | 上传身份证照片 |
/api/app/updatevideolog | 未发现使用 |
/api/app/updatesmsstatus | 未发现使用 |
/api/app/updatepwd | 上传受害者输入的安全密码 |
/api/app/updatenewslog | 未发现使用 |
/api/app/updatemessagelog | 未发现使用 |
/api/app/updatelockstatus | 未发现使用 |
/api/app/updatelocklog | 未发现使用 |
/api/app/updatedoclog | 未发现使用 |
/api/app/updatebanklogmm | 上传受害者输入的银行密码日志 |
/api/app/updatebanklog | 未发现使用 |
/api/app/updatePhoneStatus | 未发现使用 |
/api/app/synclockbank | 同步adid |
/api/app/savevideolog | 未发现使用 |
/api/app/savevideo | 上传视频的云URL到主控服务器 |
/api/app/savesms | 上传受害者短信 |
/api/app/savesendsms | 上传发送的短信 |
/api/app/savenewslog | 未发现使用 |
/api/app/savemessagelog | 未发现使用 |
/api/app/savemask | 上传遮罩状态 |
/api/app/savelocklog | 未发现使用 |
/api/app/saveinputlog | 上传用户输入 |
/api/app/savedoclog | 未发现使用 |
/api/app/savedevice | 上传设备信息 |
/api/app/savecontact | 未发现使用 |
/api/app/savebanklog | 未发现使用 |
/api/app/saveauthlog | 未发现使用 |
/api/app/saveapps | 上传已安装应用列表 |
/api/app/savealbum | 上传图片云URL到主控服务器 |
/api/app/online | 监控心跳状态 |
/api/app/login | 登录 |
/api/app/isonline | 活跃Ping |
/api/app/getsize | 30000ms间隔监控在线状态 |
/api/app/getfrpconfig | 获取frp配置 |
/api/app/getbankconfig | 未发现使用 |
/api/app/getaadfkfjoooosssss | 获取云服务器配置 |
/api/app/getBPackageUrl | 获取B包信息 |
/api/app/checkdestruction | 检查是否要下载 |
/api/app/changewifistatus | 上传Wifi连接状态 |
/api/app/changesignal | 上传ping goole 站点的速度 |
/api/app/applynoauth | 上传未申请到的权限 |
/api/app/applyauth | 上传已获得权限 |
伍
金融监控软件分析
为了更好的实施金融诈骗,仿冒软件会下载并诱导受害者安装名为“b.apk”的文件包,此包是一个伪装的客服软件,软件内部会监控目标金融软件,并定制每个金融软件的钓鱼和锁定界面,我们称其为金融监控软件。
金融监控软件是一个无启动图标的应用,通过伪装软件进行开启,并将主控地址通过Intent传递。在基础的配置功能上与伪装软件相同,采用服务器相应的“b接口”或相同接口,因此不再对其进行流程化分析,下面对其API接口功能和主要功能信息进行分析。
(一)API接口功能
API 接口 | 功能 |
/api/app/applyauthforb | 上传已获得权限 |
/api/app/applynoauthforb | 上传未申请到的权限 |
/api/app/bonline | 上传客户端状态 |
/api/app/getbfrpconfig | 获取frp配置 |
/api/app/saveapps | 上传已安装应用列表 |
/api/app/savebanklog | 上传目标银行操作状态 |
/api/app/savedeviceb | 上传设备信息 |
/api/app/savesms | 上传短信信息 |
/api/app/updatebanklogmm | 上传受害者输入的银行密码 |
/api/app/updatesmsstatus | 未发现使用 |
关键功能分析
01
权限界面开启
金融监控软件无启动图标,在仿冒软件中通过意图开启,并通过不同的auth值来控制金融监控软件申请权限,“1”是申请短信权限;“2”是申请通知权限;“3”是使用情况查看权限;“4”是申请悬浮窗权限。
仿冒软件开启金融监控软件源码如下:
金融监控软件权限申请控制源码如下:
02
远程控制
在对受害者诈骗的过程中,恶意软件可以实时远程控制目标设备,主要针对目标银行进行操作,如设置弹窗、锁定/解除锁定和设置代理等。
远程控制源码如下:
03
金融软件操控
在远控功能中,具有一系列试图控制用户金融应用使用的命令,其中就包含下发弹窗和锁定目标银行的功能,而锁定的方式则是通过load应用包中定制开发的各个金融应用的html伪装页面,并以此获得受害者的金融账户密码。
伪装金融应用的弹窗页面和锁定页面如下:
目标金融软件如下表所示:
名称 | 包名 |
CIMB THAI | com.cimbthai.digital.mycimb |
MyMo by GSB | com.mobilife.gsb.mymo |
KMA | com.krungsri.kma |
Bangkok Bank Mobile Banking | com.bbl.mobilebanking |
BAAC Mobile | com.baac.amobileplus |
ttb touch | com.TMBTOUCH.PRODUCTION |
Krungthai NEXT | ktbcs.netbank |
SCB EASY | com.scb.phone |
K PLUS | com.kasikorn.retail.mbanking.wap |
陆
总结
针对特定人群如何避免遭受移动端上的攻击,奇安信病毒响应中心移动安全团队提供以下防护建议:
及时更新系统和应用,在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载,国外用户可以在Google Play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。
移动设备及时在可信网络环境下进行安全更新,不要轻易使用不可信的网络环境。
不轻易开启Root权限;对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎,一般来说普通应用不会请求这些权限,特别是设备管理器,正常的应用基本没有这个需求。
确保安装有手机安全软件,进行实时保护个人财产安全;如安装奇安信移动安全产品。
目前,基于奇安信自研的猫头鹰引擎、QADE引擎和威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、奇安信天狗漏洞攻击防护系统、天擎、天机、天守、天眼高级威胁检测系统、奇安信NGSOC(态势感知与安全运营平台)、奇安信监管类态势感知等,都已经支持对此类攻击的精确检测。
柒
IOCs
如有侵权请联系:admin#unsafe.sh