2024年2月15日,國外安全公司Group-IB宣佈,發現一個名爲“GoldPickaxe”的惡意軟件。該惡意軟件的iOS版本,誘騙用戶進行人臉識別、提交身份證件,然後基於用戶的人臉信息進行深度僞造。
通過深度僞造的虛假的人臉視頻,欺詐分子就可以登錄用戶的銀行賬號,攔截銀行發送的手機驗證短信,就能夠進行轉賬、消費、修改賬號密碼等。
“GoldPickaxe”iOS版本非常強調社會工程,在敏感信息獲取和收集上描述非常詳細。例如,在拍攝人臉照片前,惡意軟件會提示“請保持相機穩定”、“請眨眼”,甚至還使用谷歌的ML套件進行人臉檢測。需求身份證件或銀行卡信息。軟件會提示,受害人要上傳證件或銀行卡的正面、背面,並自動打開一個個帶有提示的視圖,提示執行必要的步驟。人臉信息和證件照片拍攝後,會自動發到欺詐分子的服務器。
“GoldPickaxe”也有安卓版本,功能更多。除收集盜取受害人的人臉信息、身份證、銀行卡等信息外,安卓版還能在手機的相冊中檢索更多人臉圖片,並向銀行App索求人臉識別等授權服務。
這個病毒如何感染用戶手機?
據泰國警方披露,使用“GoldPickaxe”惡意軟件的欺詐分子,首先通過社交軟件、郵件、收集短信與用戶進行聯繫,聲稱老年親屬有資格獲得額外的養老金福利的資格,並附上下載惡意軟件的鏈接,引導用戶下載安裝。
安全公司Group-IB研究員已進化過發現,“GoldPickaxe”安卓版會僞裝成來自政府、金融部門和公用事業公司的 20 多個不同的山寨App,例如,山寨的泰國“數字養老金App”。此外,欺詐分子還製作虛假的政府、金融機構的仿冒網站,提供“GoldPickaxe”安卓版惡意軟件的下載。
蘋果iOS系統的安全性較高,對App的權限控制比較嚴格。爲了防止惡意軟件進入,蘋果只允許通過蘋果商店Apple Store進行App分發。而“GoldPickaxe”iOS版惡意軟件就是通過兩種方式,避開了Apple Store的審覈。
1、濫用TestFlight。TestFlight是iOS系統的的軟件測試平臺,基於該TestFlight,開發者可以在iOS上測試自己的Beta版App,iOS設備(iPhone、iPad 、 Mac、Apple TV等),通過 TestFlight即可直接安裝Beta版App,無需溝通過Apple Store下載。
2、濫用移動設備管理(MDM)。MDM(Mobile Device Management)是iOS的一種服務,幫助 IT 管理員在企業環境中部署和管理設備,並確保設備安全和合規,可以遠程管理企業內部的iOS設備(iPhone、iPad 、Mac、Mac等)。開發者選擇一個 MDM 服務器(包括 Apple 的 DEP(和第三方 MDM 解決方案),獲取 MDM 證書。然後提交審覈,審覈通過後即開通MDM服務權限。然後在指定的iOS設備中手動添加公司的MDM 服務器地址,也可以通過MDM 服務器的管理界面添加指定設備。添加進入公司MDM的設備,即可被用於遠程管理,可以直接對指定設備進安裝App、配置文件、收集數據、限制功能、甚至鎖定設備、擦除設備信息等。
欺詐分子誘導iOS用戶安裝TestFlight ,或者下載 MDM 配置文件,然後就可以將“GoldPickaxe”iOS版惡意軟件,安裝到用戶的iPhone、iPad 、 Mac等設備上。
這個AI病毒有哪些危害特徵?
Group-IB的安全報告中,針對“GoldPickaxe”惡意軟件有詳細的危害描述。
1、“GoldPickaxe”惡意軟件具有iOS 和 Android兩個版本,目前只在越南和泰國發現遭遇該惡意軟件侵害的羣體。
2、“GoldPickaxe”惡意軟件不會直接竊取用戶的銀行資金,只是在收集盜取用戶的人臉信息、身份證件、銀行卡等敏感信息,並攔截手機短信 。
3、“GoldPickaxe”惡意軟件將將盜取的人人臉信息進行深度僞造,創建虛假的受害者視頻,然後直接登錄受害者的銀行賬戶,進行轉賬盜竊。
4、“GoldPickaxe”iOS 版通過 Apple 的 TestFlight ,或者通過對受害者進行社會工程以安裝 MDM 配置文件進行傳播;“GoldPickaxe”安卓版通過手機短信、郵件、釣魚網站和安卓市場進行傳播。
5、安全研究人員,還發現了在“GoldPickaxe”惡意軟件的多個新變種。其中,一個名爲“GoldDiggerPlus”新變種,能夠僞造報警和客服。當受害者點擊聯繫客戶服務按鈕虛假警報時,惡意軟件將嘗試找到一個免費的運營商來呼叫。就好像網絡犯罪分子正在運營一個真正的客戶服務中心一樣。
6、社會工程貫穿“GoldPickaxe”惡意軟件的利用。該惡意軟件與網絡犯罪集團GoldFactory有關,並與2023年肆虐金融機構的“Gigabud”惡意軟件有着密切的聯繫。
2023年有個類似的病毒出現
2022年9月,安全公司Group-IB研究人員發現一個名爲“Gigabud”的安卓惡意軟件,影響多個國家的至少25家公司、金融機構和政府部門。該惡意軟件能夠遠程在用戶的安卓手機上進行手勢操作,從而使逃避防禦機制,包括雙因素身份驗證(2FA)。
在用戶進入惡意應用程序之前,“Gigabud”不會執行任何惡意操作,而是通過屏幕錄製來收集可用的敏感信息,然後模仿用戶的身份和操作,由此使安全檢測複雜化。
安全研究人員還在“Gigabud”家族中發現了一個變種惡意軟件“Gigabud.Loan”,主要以虛假的貸款申請App出現,以低息貸款噱頭引誘受害者,分別冒充過泰國、印度尼西亞和祕魯等多個國家的金融機構。一旦給用戶下載且使用該山寨App,就會被迫提供敏感的個人信息,這些信息隨後被欺詐分子盜用。
“Gigabud”和“Gigabud.Loan”主要通過即時通訊工具、短信、社交網絡進行傳播,向用戶發送消息,然後引導其下載兩個惡意軟件。2022年至2023年間,Group-IB的安全研究人員檢測到了400多個“Gigabud”和20多個“Gigabud.Loan”惡意軟件。
銀行和個人怎麼防禦AI病毒?
頂象防禦雲業務安全情報中心此前曾警示,隨着AI在各行各業的廣泛應用,其帶來的安全威脅也日益引起人們的關注。AI正成爲一種新的威脅手段,利用AI技術的攻擊者將給企業和個人用戶帶來前所未有的風險,並列舉了2024年業務欺詐風險的五大趨勢:AI帶來的新攻擊成倍增加、賬號和身份更難以甄別、爬蟲盜取數據依舊瘋狂、賬號盜竊冒用將更加普遍和難以防範、內部數據泄露。
這一增長趨勢背後的主要原因是技術進步和社會工程學的不斷髮展。隨着人們越來越多地轉向在線和移動渠道購物,欺詐者也緊跟其後,利用先進的技術手段進行欺詐活動。此外,社會工程學利用了人員這一最複雜和最持久的安全弱點,讓許多缺乏信息安全思維的用戶成爲欺詐者的目標。
針對金融機構
頂象防禦雲業務安全情報中心建議,金融機構需要做好App安全,並做好客戶的安全教育。
1、加強App安全檢測,做好安全與合規。
作爲率先進行iOS免源碼加固的頂象App加固,支持安卓、iOS、H5、小程序等平臺,獨有云策略、業務安全情報和大數據建模的能力。能有效防禦內存注入、Hook、調試、注入、多開、內存Dump、模擬器、二次打包和日誌泄露等攻擊威脅,防止App遭入侵、篡改、破解、二次打包等惡意侵害,保護Android 16種數據和文件,提供7種加密形式。
頂象App加固能夠針對已有App進行安全性檢測,發現應用存在的風險漏洞並針對性進行修復整改,對敏感數據、代碼混淆、代碼完整性、內存數據等進行保護,從源頭上避免系統漏洞對於應用本身造成的安全影響,防範數據信息泄露,保障App安全。還能夠爲App提供移動應用運行進行安全監測,對移動應用運行時終端設備、運行環境、操作行爲進行實時監測,幫助App建立運行時風險的監測、預警、阻斷和溯源安全體系。
針對金融App人臉被盜用風險,頂象業務安全感知防禦平臺基於威脅探針、流計算、機器學習等先進技術,集設備風險分析、運行攻擊識別、異常行爲檢測、預警、防護處置爲一體的主動安全防禦平臺,能夠實時發現攝像頭遭劫持、設備僞造等惡意行爲,有效防控各類人臉識別系統風險。它具有威脅可視化、威脅可追溯、設備關聯分析、多賬戶管理、跨平臺支持、主動防禦、開放數據接入、防禦自定義和全流程防控等特點。
2、及時關注各類威脅預警,做好安全措施,一旦遭遇新型威脅,能夠迅速應對。
3、對用戶做好安全教育,通過欺詐案例講解,提升用戶的安全防範意識。
針對個人用戶
這對個人,頂象防禦雲業務安全情報中心建議,一定要去正規渠道下載App,時刻保持安全使用習慣。
1、不要點擊手機短信、社交軟件、郵件收到的陌生鏈接。
2、不要向他人透露短信驗證碼、銀行卡和身份證等敏感信息。
3、接到陌生電話、短信,一定要保持冷靜,如果感覺可疑,請立即報警。
4、一定要通過 AppStore、安卓市場以及金融機構的官網下載App,切勿通過三方平臺和他人發來的鏈接下載。
5、切勿安裝不熟悉、不瞭解、陌生的App。
6、在安裝App時,一定要仔細檢查App請求的權限,並對App請求輔助功能時保持高度警惕。
7、聯繫金融機構,一定要撥打官方渠道公佈的諮詢電話。
業務安全產品:免費試用
業務安全交流羣:加入暢聊