2023年10月,IB组研究人员发布了一份关于以前未知的 Android 木马的报告特别针对越南50多家金融机构。我们将其命名为GoldDigger,因为APK 中包含一个名为GoldActivity的活动。在最初发现该特洛伊木马之后,Group-IB 的威胁情报该部门一直在持续监控这一不断演变的威胁,并发现了一整群积极针对亚太地区 (APAC)的攻击性银行木马。
在这些发现中,有一个异常罕见的现象——一种专门针对 iOS 用户的新型复杂移动木马,被 Group-IB称为GoldPickaxe.iOS。 GoldPickaxe 系列包括 iOS 和 Android 版本,基于 GoldDigger Android 木马,并定期进行更新,旨在增强其功能并逃避检测。 Group-IB 研究人员发现, GoldPickaxe.iOS能够收集面部识别数据、身份证件并拦截短信。它的 Android 兄弟具有相同的功能,但还表现出 Android 木马的其他典型功能。为了利用被盗的生物识别数据,威胁行为者利用人工智能驱动的换脸服务来创建深度伪造品。这些数据与身份证件和拦截短信的能力相结合,使网络犯罪分子能够未经授权访问受害者的银行账户——这是一种新型的货币盗窃技术,Group-IB 研究人员以前在其他欺诈计划中从未见过。
新确定的GoldPickaxe.iOS采用了值得注意的分发方案。威胁行为者最初利用苹果的移动应用程序测试平台TestFlight来分发恶意软件。从 TestFlight 中删除其恶意应用程序后,威胁行为者采用了更复杂的方法。他们采用了多阶段社会工程计划来说服受害者安装移动设备管理(MDM)配置文件。这使得威胁行为者能够完全控制受害者的设备。
Group-IB 将整个威胁集群归因于一个代号为GoldFactory 的威胁参与者,该威胁参与者开发了一套复杂的移动银行恶意软件。
这种恶意活动的受害者主要位于亚太地区。虽然目前的证据表明,GoldFactory 特别关注两个亚太国家,但有新的迹象表明,GoldFactory 的业务地域可能会扩展到越南和泰国以外的地区。 Group-IB 向被 GoldFactory 木马冒充的品牌发送了通知。
在这篇博客中,Group-IB 研究人员研究了 GoldFactory 构成的威胁的详细信息,并阐明了它与其他 Android 恶意软件家族不断变化的关系,例如吉加布德。该分析提供了有关网络威胁格局的性质和范围的宝贵见解,有助于我们不断努力提高网络安全意识和弹性。该博客包括一个Group-IB 欺诈矩阵,其中包含分类特征和策略以及相关的妥协指标 (IOC)。
主要发现
- Group-IB 的威胁情报部门发现了一个以前未知的 iOS 木马GoldPickaxe.iOS,该木马会收集身份证明文件、短信和面部识别数据。
- GoldPickaxe 系列适用于iOS和Android平台。
- GoldFactory开发的这套复杂木马自2023 年中期以来一直活跃。
- GoldFactory被认为是一个组织严密的中文网络犯罪组织,与Gigabud关系密切。
- 社会工程是整个 GoldFactory 特洛伊木马家族向受害者设备传送恶意软件的主要方法。
- GoldPickaxe.iOS通过Apple 的 TestFlight或通过社会工程受害者安装MDM 配置文件进行分发。
- GoldPickaxe 木马收集人脸资料、身份证件并拦截短信。为了利用从 iOS 和 Android 用户处窃取的生物识别数据,威胁行为者使用人工智能换脸服务创建深度伪造品,将他们的脸替换为受害者的脸。网络犯罪分子可以利用这种方法未经授权访问受害者的银行账户。
- GoldFactory开发的木马的受害者位于越南和泰国。
- 在发布有关 GoldDigger 的初步报告后,Group-IB 的研究人员发现了一种名为GoldDiggerPlus 的新恶意软件变种。
- GoldDiggerPlus扩展了GoldDigger的功能,并使威胁行为者能够实时呼叫受害者。
- 它是通过专门设计的 APK(由 Group-IB 称为GoldKefu)来实现的。当受害者点击联系客户服务按钮虚假警报时,GoldKefu 会检查当前时间是否在网络犯罪分子设定的工作时间内。如果是这样,恶意软件将尝试寻找免费的运营商来拨打电话。这就好像网络犯罪分子正在运营一个真正的客户服务中心。
- 本报告中发现的所有木马都处于活跃的进化阶段。
介绍
我们通过揭露以下内容开始对 GoldFactory 组织的活动进行调查:GoldDigger恶意软件的第一个已知版本,专门针对越南50多个与银行、电子钱包和加密钱包相关的应用程序。
图 1. 第一个 GoldDigger 变体的恶意软件配置文件
由于我们怀疑这是亚太地区日益严重的威胁,我们立即向有关部门发出警报IB 集团欺诈保护团队保护我们的客户免受已识别的恶意软件威胁。
继 2023 年 10 月发布初步报告后,Group-IB 研究人员发现了该木马的一个新变种——GoldDiggerPlus,该变种删除了目标应用程序列表,但在 Group-IB 名为 GoldKefu 的嵌入式恶意软件中包含了 10 个网络假冒的精简列表。 IB。我们认为,这样做可能会隐藏目标组织和国家,从而提高犯罪活动的有效性。
我们之前的分析表明,GoldDigger 的扩张将扩展到亚太地区的其他国家——这一假设被证明是准确的。在不到一个月的时间里,Group-IB 的威胁情报部门发现了一种针对泰国iOS 平台受害者的新恶意软件变体,随后被 Group-IB 命名为GoldPickaxe.iOS。除了 iOS 木马之外,Group-IB 团队还发现了GoldPickaxe 的Android版本,名为 GoldPickaxe.Android。
总体而言,我们确定了网络犯罪分子使用的四个特洛伊木马家族。我们通过使用新发现的恶意软件的前缀Gold作为命名约定,作为它们是由同一威胁参与者开发的象征性表示。
图 2. GoldFactory 木马演变的时间线
下面的列表对每个内容进行了简要介绍:
- GoldDigger是经典的 Android 银行木马,它滥用辅助功能服务并授予网络犯罪分子对设备的控制权
- GoldDiggerPlus也是一款 Android 恶意软件,扩展了 GoldDigger 的功能
- GoldKefu是GoldDiggerPlus中的一种嵌入式木马,包含网络假冒内容,并可实时向受害者拨打语音电话
- GoldPickaxe是一款针对 iOS 和 Android 平台设计的木马。 GoldPickaxe 用于收集和窃取受害者的个人信息以及生物识别数据。
2023 年 3 月,泰国央行指示银行在进行 50,000 泰铢(约 1,430 美元)或以上的交易时,使用面部生物识别验证来确认身份,而不是使用一次性密码;每天转账超过20万泰铢;或者将移动设备上的信用转账限额提高到每笔交易 50,000 泰铢以上。
GoldPickaxe 最有可能也到达了越南海岸。 2024 年 2 月,有消息称一名越南公民成为恶意移动应用程序的受害者。该个人执行了应用程序请求的操作,包括执行面部识别扫描。结果,网络犯罪分子提取了相当于4 万多美元的资金。目前,我们没有任何证据表明 GoldPickaxe 在越南有分布。然而,根据新闻中提到的进行面部扫描的独特功能,再加上GoldFactory在该地区活跃的事实,我们怀疑他们可能已经开始在越南使用GoldPickaxe。我们预计越南很快就会出现更多 GoldPickaxe 实例越南国家银行 (SBV) 概述了强制使用面部认证的计划作为 2024 年 4 月起所有汇款的安全措施。
图 3. 通过生物特征验证授权的合法银行交易流程
我们的研究揭示了 GoldFactory 网络犯罪活动的许多方面。在调查的现阶段,尚未发现涉案工具的销售情况。因此,很难说这些恶意工具是专门为一组网络犯罪分子使用而开发的,还是将来在网络犯罪地下组织中进一步传播的。然而,我们相信货币的开发、分配和盗窃背后有很多人,因为他们是高度组织化的。因此,在研究时,我们将所有这些活动归因于一个被我们称为GoldFactory 的小组。本报告的重点将放在技术方面以及在针对个人的攻击中发现的工具的使用。
图 4. 威胁参与者概况:GoldFactory
从点击到硬币矿井。感染链
在本节中,我们将了解 GoldFactory 用来危害受害者手机的方法。由于网络犯罪分子小心翼翼地删除其活动的所有证据,整个感染链仍然模糊不清。但通过对公开信息、内部数据以及我们的调查结果等多种来源的彻底检查,我们成功地重建了感染链。
GoldFactory 团伙结合使用网络钓鱼和网络钓鱼技术来实施恶意活动。我们目前的监控已成功识别出GoldFactory恶意工具在越南和泰国的使用情况。我们非常有信心开发人员会说中文。然而,有迹象表明当地网络犯罪分子也参与其中,犯罪分子打电话给受害者的例子就证明了这一点。虽然没有直接证据表明在这些通话中使用了当地语言,但说当地语言对于与受害者建立信任和信心至关重要。因此,我们假设 GoldFactory 可能会聘请精通泰语和越南语的操作员,甚至可能运营一个呼叫中心。您可以在本博客的GoldFactory 网络安全富矿:新淘金热部分中找到有关 GoldFactory 小组的组成以及小组成员所使用的语言的更多详细信息。
我们还发现了一个在网络钓鱼活动中使用的用泰语编写的短信示例。该证据表明存在由来自不同国家的个人组成的多元化网络犯罪团伙,或使用本地服务向受害者的设备分发恶意软件。在此阶段,我们保持谨慎态度,避免得出任何明确的结论。
我们根据最近发现的 GoldPickaxe 变种的传递情况检查了感染链。然而,GoldFactory 家族中的其他木马的感染链并没有显着不同。
在泰国的环境中,网络犯罪分子冒充政府当局并说服受害者使用该国最受欢迎的消息应用程序之一LINE 。要开始对话,LINE 用户必须添加另一个人为好友。
图 5. GoldPickaxe 木马对设备的最初攻击
根据泰国银行业计算机紧急响应小组 (TB-CERT) 的数据,通过Messenger分发恶意链接以鼓励安装该应用程序。然后,受害者被引诱进入一个冒充“数字养老金”应用程序的欺诈性应用程序,据称使他们能够以数字方式领取养老金。 TB-CERT 警报中最令人担忧的一点是,网络犯罪分子拥有有关受害者的可靠个人信息,这增加了他们的欺诈策略的说服力。
Group-IB 的调查结果可以证实 TB-CERT 的警报,该调查发现了 GoldPickaxe 的多个版本,所有版本都具有相同的功能,但伪装成不同的泰国官方政府服务。我们发现 GoldFactory 的恶意活动涉及模仿合法的政府应用程序,例如 泰国数字养老金、其他泰国政府服务以及越南政府信息门户。值得注意的是,GoldPickaxe 冒充的其他应用程序确实与Group-IB 研究人员描述的 Gigabud 恶意软件2023 年 8 月。我们稍后将在博客中讨论 GoldFactory 和 Gigabud 之间的重叠。
图 6. GoldFactory 木马冒充泰国应用程序的虚假登录屏幕示例
下面的截图显示了一条声称提供电费退税的虚假消息。一旦收件人打开链接,他们就会被重定向到 LINE,将网络犯罪分子添加为好友。在 LINE Messenger 中,网络犯罪分子随后开始实施社交工程策略,说服他们遵循必要的步骤并安装恶意应用程序。然而,由于网络犯罪分子清除了受感染设备上的聊天记录,因此无法检索任何消息。
图 7. GoldFactory 发送的垃圾邮件示例
正如我们在之前的博客中讨论的那样,GoldDigger 在越南通过冒充 Google Play 商店页面或虚假公司网站的虚假网站进行传播,以便成功将其自身安装在受害者的设备上。 GoldDiggerPlus 和 GoldPickaxe.Android 使用类似的方案进行分发。
图 8. 用于传送 GoldPickaxe.Android 的虚假 Google Play 网站
GoldPickaxe.iOS有不同的分发方案。苹果拥有精心设计的系统,旨在防止威胁行为者通过其商店传播恶意软件。然而,网络犯罪分子巧妙地利用了某些最初旨在改善用户体验的功能。
网络安全研究人员已经记录了这种性质的欺诈计划。一个值得注意的例子是CryptoRAM 活动,网络犯罪分子利用苹果的试飞平台分发虚假的加密货币应用程序。 TestFlight 是开发人员在 App Store 正式发布之前分发和测试其 iOS 应用程序的工具。该平台提供多种测试方法,并允许开发者邀请用户测试他们的应用程序。
另一种策略涉及通过移动设备管理 (MDM)操作 Apple 设备。 MDM 是一种全面的集中式解决方案,用于管理和保护组织内的移动设备(例如智能手机和平板电脑)。 MDM 的主要目标是简化设备管理任务、增强安全性、确保遵守组织策略并部署应用程序。内苹果生态系统, MDM 允许通过向设备发送配置文件和命令来无线配置设备。
GoldFactory 已成功地使用这两种策略来分发自己的 iOS 木马。当 TestFlight 被滥用时,受害者会收到看似无辜的 URL,例如https://testflight.apple.com/join/<ID>。由于这些 URL 带有 Apple 域,因此用户通常认为它们是值得信赖的。不幸的是,这种错误的信任导致用户安装看似合法的软件,从而在不知不觉中使他们的设备面临恶意威胁。
GoldFactory 使用的一种更复杂的方法是操纵受害者与欺诈网站交互以安装 MDM 配置文件。受害者被诱骗访问以下 URL,这些 URL 会将他们重定向到这些由威胁行为者控制的欺诈网站。感染过程需要用户采取不寻常的步骤,例如安装 MDM 配置文件——这是一个本质上可疑的步骤。尽管其复杂性,但如果成功,这种方法将使网络犯罪分子完全控制受害者的设备。下面我们将了解 GoldFactory 将 GoldPickaxe.iOS 植入受害者设备的复杂方案的各个方面。
图 9. GoldPickaxe.iOS 如何感染 iOS 设备的方案
如上所述,GoldFactory 利用 TestFlight 来利用毫无戒心的用户的方法之一。值得注意的是,TestFlight 不仅用于测试目的,还用于多种情况,例如当用户难以安装来自各自国家的应用程序时绕过区域限制。 TestFlight 的简单性和成本效益使其成为网络犯罪分子的一个有吸引力的选择。如果恶意应用程序被阻止,网络犯罪分子可以使用替代开发者帐户轻松重新上传该应用程序。他们还可以使用提供类似功能的服务,从而提供一种将应用程序上传到 TestFlight 的方法,而不会遇到重大障碍。这种适应性凸显了网络犯罪分子使用 TestFlight 作为恶意活动工具的敏捷性和恢复能力。
值得注意的是,GoldFactory 在其恶意活动的早期阶段就使用了 TestFlight 方法。然而,当网络犯罪分子转而使用 MDM 时,他们发生了战略转变。
我们将这一转变归因于上传到 TestFlight 的应用程序将提交给 Apple 审核流程的认识。由于在撰写本文时,GoldPickaxe.iOS 木马在 TestFlight 中无法访问,因此 Apple 的审查很可能已识别出 GoldPickaxe.iOS 恶意软件,从而采取了阻止措施。因此,网络犯罪分子调整了其分布并选择了 MDM 方法来规避与 TestFlight 相关的严格控制,并继续进行非法活动。 Group-IB 向 Apple 发出了有关 GoldFactory 的活动的通知。
图 10. TestFlight 中虚假应用程序的描述(在撰写本文时 TestFlight 中不可用)
我们持续监控 GoldFactory 的活动,不久之后,我们注意到感染链的变化。我们开始检测旨在下载 MDM 配置文件的欺诈域名。来自以下机构的警报也证实了我们的发现泰国网络警察。 2023 年 11 月,一些个人成为了网络犯罪分子冒充财政部官员的骗局的目标。据泰国警方称,犯罪分子声称目标的老年亲属有资格获得额外的养老金福利。然后,受害者点击犯罪分子网站的链接来下载MDM配置文件设置,这将使犯罪分子能够远程管理受害者的移动设备。
在这些欺诈网站上,网络犯罪分子提供了有关如何安装恶意应用程序的完整说明。说明以泰语书写,如下所示。我们已经简要描述了受害者打开收到的 URL 时会发生什么:
- 受害者打开该 URL。
- 系统注意到该网站正在尝试下载配置文件并请求安装它的权限。
- 之后,受害者必须按下按钮,表明他们信任此配置。
- Safari 会自动打开该 URL。
- 最后,该网站要求受害者授权安装该木马。
图 11. 为网络犯罪分子网站上找到的受害者安装 MDM 配置文件的指南示例(目前不活动)
一旦安装此配置文件,网络犯罪分子就会获得对设备的未经授权的控制。移动设备管理提供了广泛的功能,例如远程擦除、设备跟踪和应用程序管理,网络犯罪分子利用这些功能来安装恶意应用程序并获取他们所需的信息。
图 12. GoldFactory 受害者安装的 MDM 配置文件示例
作为 MDM 滥用计划的一部分安装的 GoldPickaxe.iOS 木马将自己伪装成泰国政府服务应用程序。
图 13. 伪装成泰国政府服务应用程序的 GoldPickaxe.iOS 木马的登录页面
到目前为止,我们已经抽象地介绍了欺诈方案,现在我们将在下面详细讨论该恶意软件的特征。
GoldFactory 针对 iOS 和 Android 移动操作系统,绕过最严格的安全控制和严格的过滤。与所有 Android 木马一样,威胁行为者会诱骗用户安装和打开恶意应用程序,我们在上面详细讨论了这一点。然后受害者只需要向恶意软件提供必要的权限即可。一旦获得这些权限,GoldFactory 的复杂木马套件几乎可以自主运行,在受害者不知情的情况下操纵他们的设备。 GoldFactory 的 Android 木马通过滥用辅助服务来获取屏幕内容信息,并显示模仿合法银行界面的虚假 Web 表单以捕获用户的凭据。这甚至会绕过双因素身份验证(2FA)。
鉴于最近的事态发展,有必要强调泰国的新政策,该政策要求用户使用面部识别来确认较大的交易。这一额外的安全措施旨在保护用户免受欺诈活动的侵害。
然而,GoldFactory 已经学会了如何绕过这些限制,并开发了高度复杂的恶意软件系列。 GoldPickaxe 会提示受害者录制视频,作为虚假应用程序中的确认方法。然后,录制的视频将被用作通过换脸人工智能服务创建深度伪造视频的原材料。
适用于 iOS 和 Android 平台的 GoldPickaxe 木马具有额外的功能,例如请求受害者的身份证件、拦截短信以及通过受害者的受感染设备代理流量。这些功能将在下一节中详细介绍。
GoldPickaxe 不会直接通过受害者的手机执行未经授权的交易。相反,它从受害者那里收集所有必要的信息,以自主访问受害者的银行应用程序。
人脸识别正在主动进行泰国金融机构使用用于交易验证和登录验证。因此,GoldPickaxe 的面部识别视频捕获功能与拦截短信和获取身份证件照片的功能相结合,为网络犯罪分子提供了未经授权访问银行账户的机会。尽管如此,我们还没有观察到网络犯罪分子利用这些被盗数据未经授权访问受害者银行账户的案例。
我们假设网络犯罪分子正在使用自己的设备登录银行账户。这泰国警方证实这一假设表明,网络犯罪分子正在自己的 Android 设备上安装银行应用程序,并使用捕获的面部扫描绕过面部识别检查,以对受害者的帐户进行未经授权的访问。
图 14. GoldPickaxe 木马如何从受害者设备中提取资金的方案
倾听是金:分析GoldFactory开发的木马技术能力
在本节中,我们将了解 GoldFactory 使用的新识别的移动木马的技术方面。目前,我们已将这些木马分为两个主要系列:GoldPickaxe和GoldDigger(及其更新版本GoldDiggerPlus)。 GoldPickaxe 有两种不同的变体——iOS 和 Android——而 GoldDigger 专门针对 Android 设备,呈现三种不同的变体。
尽管 GoldPickaxe 和 GoldDigger 共享共同的代码,但 GoldPickaxe 的主要目标有所不同,它侧重于收集受害者的个人信息,而 GoldDigger 则侧重于银行凭证。 GoldPickaxe 具有捕获受害者面部视频、窃取身份文件以及通过受害者手机代理流量等功能。相反,GoldDigger 是专门为窃取银行凭证而设计的。
对 GoldDigger 系列中的 Android 变体进行分析具有挑战性,因为观察到的所有样本都包装在VirBox 加壳器中,这是针对静态和动态分析的高级保护层,需要额外的分析时间。相比之下,GoldPickaxe.iOS版本已解压且没有规避技术。操作员可以在控制阶段禁用其功能,这凸显了网络犯罪分子选择受害者的谨慎方式。
GoldPickaxe 和 GoldDigger 这两个木马家族都采用与命令和控制 (C2) 服务器的双重通信方法,同时利用 Websocket 和 HTTP。 Websocket 作为接收命令的通道,通常位于用于控制 Android 设备的端口8282和用于控制 iOS 设备的端口8383。然后,执行的结果通过 HTTP 传输到各自的 API 端点,主要用于从受感染的设备中窃取信息并报告执行命令的结果,所有命令均采用 JSON 格式。还值得注意的是,GoldPickaxe 和 GoldDiggerPlus 都将受感染设备的数据泄露到阿里巴巴云存储中。
在我们的研究过程中,我们得出结论,GoldFactory 的手机银行木马仍在不断发展。例如,Android 恶意软件包含未实现的处理程序或未使用的功能。因此,我们假设新版本将在不久的将来发布。现在让我们详细检查该特洛伊木马的每个版本,以充分了解其功能。
金镐家族
GoldPickaxe 系列可在iOS和Android 平台上使用。当 iOS 木马被发现时,我们认为它是针对 Android 的 GoldDigger 变种的修改。然而,由于苹果平台的限制,iOS 木马的功能与 Android 前身的功能并不匹配。尽管存在差异,但我们确认 iOS 木马是由与 GoldDigger 相同的威胁参与者开发的,原因如下:所选的通信机制以及使用相同的云存储桶 URL。最终,我们发现了一款为 Android 开发的类似应用程序,反映了 iOS 恶意软件的功能。因此,我们决定将其归类为与 GoldDigger 分开的新系列。
由于 iOS 平台的封闭性和 iOS 权限相对严格的性质,GoldPickaxe.iOS恶意软件与其 Android 兄弟相比表现出更少的功能。因此,iOS 版本的 GoldPickaxe 受到限制,因为 iOS 恶意软件很难达到与其 Android 同类软件相同水平的功能。
GoldPickaxe 的另一个功能是它创建一个SOCKS5 代理服务器并快速反向代理 (FRP)。为了集成用Go编写的 FRP 库,它利用了适用于 Android 和 iOS 的 Golang 移动绑定。这有助于将网络地址转换 (NAT) 或防火墙后面的本地服务器暴露给互联网。然后,所有流量都会通过同时启动的电话代理服务器进行重定向。我们假设攻击者按照以下步骤连接到受感染的手机,并使用设备的相同指纹绕过反欺诈措施进行交易。
GoldPickaxe 的两个版本都使用虚假登录页面,提示用户输入凭据以访问虚假数字养老金应用程序。目前尚不清楚网络犯罪分子会如何利用这些信息,但我们猜测这有助于他们避免被发现。通过查看输入的信息,他们大概可以确定该设备是属于真实用户还是安全研究人员。 Group-IB 研究人员认为,威胁行为者请求电话号码是为了获取有关受害者的更多详细信息,特别是寻找与受害者相关的银行账户信息。这使得威胁行为者能够在金钱盗窃阶段识别并安装特定的银行应用程序。Gigabud.RAT/Loan 使用了相同的策略。
图 15. iOS 和 Android 中冒充数字养老金的虚假应用程序的登录页面
金镐.iOS
如上所述,与 Android 版本相比, GoldPickaxe iOS 版本的功能有些有限。如果没有对其 Android 兄弟姐妹的广泛了解,将其归入该家族将是一项挑战。然而,我们仔细的分析表明,与 Android 版本相比,C2 服务器的通信方法、相同的凭据和共享 HTTP API 端点具有相似性。这些累积的指标明确地将其归因于 GoldPickaxe 恶意软件家族。在发现的恶意应用程序中,向受害者显示的所有消息都是用泰语编写的,因此,我们假设发现的应用程序针对的是泰国的受害者
该恶意软件的功能不仅限于从设备库中提取照片。该恶意软件还可以收集短信、捕获受害者的脸部,并通过受害者的设备代理网络流量。与它的 Android 兄弟一样,该恶意软件使用三种通信机制:用于接收命令的 Web 套接字、 用于传输执行命令结果的HTTP API以及用于信息泄露的与云存储桶的通信通道。此外,网络犯罪分子还可以要求提供其他信息,例如受害者身份证照片。
初始阶段涉及创建定期运行的重复任务。这些任务包括发送心跳来指示设备活动、验证应用程序权限、WiFi 连接状态以及 评估连接速度,后者是通过使用 PPSPing 库完成的。请求将发送至www.google.com,连接速度结果将发送至 C2 服务器。该指标可用于选择合适的渗透时间。
启动后,GoldPickaxe.iOS将尝试使用JetFire 库连接到 websocket 。该库用于实现可以在后台无阻塞通信的 websocket 客户端。如果连接成功,它将在本地主机 ( 127.0.0.1:1081 ) 上启动SOCKS5 服务器。为了实现代理功能,他们使用了 GitHub 上提供的轻量级项目 – MicroSocks。同时启动反向代理以启用连接。在开始之前,GoldPickaxe 会发出 HTTP 请求以获取代理服务器配置。服务器配置存储在电话上Documents 文件夹中名为newconfig.ini的文件中。然后,受感染的手机会收到包含受欺诈控制的服务器地址的配置。它使用以下模板,该模板可在 IPA 文件中找到。
server_addr = #server_addr
server_port = #server_port
token = #token[#adid]
type = tcp
local_ip = 127.0.0.1
local_port = 1081
Remote_port = #remote_port
websocket 侦听器只能处理六个命令。为了在后端唯一地识别受感染的设备,ID 是在电话上生成的,并通过 HTTP 请求发送以响应命令之一。作为受害者的唯一标识符,网络犯罪分子选择广告商标识符 (IDFA)。 SimulateIDFA 结合了多条设备信息来创建有助于区分一台设备与另一台设备的 ID。受感染的设备可以通过网络犯罪分子的命令手动禁用。完整的命令列表如下:
| 头型 | 指令 | 描述 |
| 心跳 | – | 向 C2 发送活动 ping |
| 在里面 | – | 发送有关受感染手机的信息 |
| 信息 | 上传身份证 | 索取身份证 |
| 脸 | 请求脸部视频 | |
| 升级 | 显示系统正在使用中,未使用手机 | |
| 专辑 | 同步照片库 | |
| 再次上传 | 上传带有受害者脸部的视频。执行face命令时出现网络错误的可能性很大 | |
| 毁坏 | 禁用应用程序 |
有两个命令需要与受害者交互。第一个命令要求上传身份证。网络犯罪分子需要卡的两面:正面和背面。命令发送到手机后,带有提示的视图将打开并等待用户执行必要的步骤(参见图 17)。然后照片被发送到 C2 服务器。
此外,还可以要求提供受害人面部照片。使用“脸部”命令,会显示特殊视图以捕获受害者的脸部。拍摄前,应用程序会显示提示:“请稳住相机”、“请眨眼”。开发人员还使用Google 的 ML Kit 进行人脸检测。然后捕获的输出被上传到云端。
图 16. 在假 iOS 应用程序中显示请求访问权限的视图
该木马iOS变种使用的HTTP API描述如下:
| API端点 | 描述 |
| /api/苹果/applyauth | 发送权限状态 |
| /api/苹果/changesignal | 发送 ping 结果 |
| /api/苹果/更改wifi状态 | 显示 WiFi 网络的连接状态 |
| /api/苹果/checkdestruction | 检查后端应用程序是否应该运行 |
| /api/苹果/getfrpconfig | 获取快速反向代理的配置 |
| /api/苹果/登录 | 在登录页面发送电话号码和用户名 |
| /api/苹果/在线 | 收到C2的“心跳”消息后发送 |
| /api/apple/savealbum | 发送照片 URL |
| /api/苹果/savecrash | 发送有关异常的信息。如果它们发生在应用程序运行时。 |
| /api/苹果/保存设备 | 发送设备信息 |
| /api/苹果/savevideo2 | 使用“face”命令发送上传视频的 URL |
| /api/苹果/updatebase2 | 在图库中选择照片后上传身份证正反面。返回值将是上传照片的 HTTP 链接 |
| /api/苹果/updatebasesave2 | 从图库上传照片 |
| /api/苹果/updatepwd | 更新密码 |
| /api/apple/uploadidcard | 通过点击按钮将URL发送到“updatebase2”请求中返回的身份证正反面的URL |
| /api/苹果/uploadstay | 当应用程序在两个选项中都处于活动状态、从前台打开或只是打开时发送。 |
| /api/苹果/uploadprogress | 发送视频上传进度 |
| /api/苹果/sms_ | 在消息过滤器扩展中使用,以代理来自未知号码的 SMS 消息 |
除了主应用程序之外,恶意软件开发人员还添加了一个应用程序扩展。在 iOS 开发中,应用程序扩展是将应用程序的功能扩展到其核心功能之外的一种方式。应用程序扩展允许开发人员提供可在不同上下文中使用的附加功能,例如共享内容、提供小部件、自定义键盘等。
可用于开发的扩展之一是消息过滤。最初引入它是为了允许第三方对抗垃圾短信。通过利用此功能,GoldFactory 实施了自己的消息过滤版本,以从受害者的设备中获取消息。 Apple 施加了某些限制,例如自定义消息过滤器只能访问联系人列表中不存在的号码的消息。给网络犯罪分子带来挑战的另一个限制是受害者必须手动启用已安装的消息过滤器。我们相信运营商会欺骗受害者启用此功能。
图 17. 显示威胁参与者的消息过滤器
该 API 允许威胁参与者在应用程序扩展的 info.plist 中指定中继,以将所有消息发送到外部服务器:
<dict>
<key>NSExtensionPrincipalClass</key>
<string>MessageFilterExtension<key>NSExtensionAttributes</key>
<dict>
<key>ILMessageFilterExtensionNetworkURL</key>
<string>https://REDACTED /api/apple/sms_</string>
</dict>
<key>NSExtensionPointIdentifier</key>
<string>com.apple.identitylookup.message-filter</string>
</dict>
金镐.Android
GoldPickaxe 的 Android 版本比 iOS 版本具有更多功能。此外,我们还发现它伪装成 泰国 政府、金融部门和公用事业公司的 20 多个不同应用程序,允许运营商窃取这些服务的登录凭据。
看来GoldPickaxe.Android确实是GoldDiggerPlus 的演进迭代,我们将在稍后讨论。许多看似未使用的剩余功能的存在支持了这一假设。
在第一个登录页面输入用户名和电话号码后,受害者将被引导至此页面为数字养老金应用程序设置密码。它还进行密码验证,即如果输入的任何数字是连续的,则密码验证将失败。只有在此之后,应用程序才会启动“设置”页面并请求启用“辅助功能服务”。
图 18. 假 Digital Pension 应用程序中的密码请求屏幕
在此特洛伊木马中,利用 AccessibilityService 来读取用户界面 (UI) 和键盘记录。每隔 800ms,C2 端更新一次 UI 上显示的信息。
该木马的主要功能是通过要求用户拍照来窃取身份证照片、从受害者相册中检索照片并捕获面部识别数据。为了利用被盗的生物识别数据,他们采用人工智能驱动的面部交换服务,允许他们在受害者的银行应用程序中进行授权——这是我们在其他欺诈计划中没有观察到的技术。当发出“面部”命令时,将进行面部扫描,并记录并上传会话。与iOS版本类似,录制面部视频时,会给出一些指令,例如眨眼、微笑、向左、向右、向下点头、向上和张嘴。这种方法通常用于创建全面的面部生物特征档案。这些视频和图片上传到云桶。
图 19. 显示 GoldPickaxe for Android 如何捕获面部生物特征资料的一系列屏幕截图
图 20. 显示 ID 卡请求屏幕的屏幕截图
通过 websocket 从 C2 接收的命令未加密,但发送到 HTTP API 端点的结果使用RSA 加密进行加密。
与iOS版本类似,它也启动了SOCKS5代理服务器(127.0.0.1:1081)和FRP。启动反向代理所需的配置值必须从 C2 请求,这些值并存储在应用程序目录内的“config.ini”中。配置值的格式与iOS版本中规定的格式类似。
它可以下载并安装单独的“B”APK。不幸的是,我们未能检索到该木马的“B”APK,因此我们无法判断“B”APK 可以执行哪些功能。然而,我们认为它可能类似于 GoldKefu,即GoldDiggerPlus 中嵌入的“B”APK。如前所述,GoldKefu是一种进行网络伪造并实现实时语音通话的木马。 GoldKefu将在后续章节详细分析。因此,我们使用 GoldKefu 作为参考,对 GoldPickaxe 的“B”APK 的功能进行有根据的猜测。
以下是支持的命令列表:
| 头型 | 指令 | 描述 |
|---|---|---|
| 心跳 | – | 向 C2 发送活动 ping |
| 在里面 | – | 发送有关受感染手机的信息,例如设备产品、品牌、型号、语言、电池、国家/地区、ISP |
| 信息 | 同步 | 获取当前UI节点信息 |
| 点击 | 单击给定坐标 | |
| 长按 | 在给定坐标处长按 | |
| 滑动 | 滑动 | |
| 菜单 | 打开最近的记录 | |
| 家 | 家 | |
| 后退 | 后退 | |
| 唤醒 | (未实现) | |
| 获取应用程序 | 获取已安装应用程序的列表 | |
| 刷新 | 与同步相同 | |
| 短信认证 | 请求 READ_SMS 和 RECEIVE_SMS 权限 | |
| 专辑验证 | 请求 READ_EXTERNAL_STORAGE 权限 | |
| 阳光/升级/夜间 | 不同的蒙版模式 | |
| 专辑 | 从相册上传 100 张最新照片 | |
| 环境 | 打开设置 | |
| 上传身份证 | 拍摄或上传身份证照片 | |
| 毁坏 | 自行卸载 | |
| 脸 | 请求受害者面部视频 | |
| googleplay_auth | 打开安全设置 | |
| 安装 | 下载并安装“B”包 | |
| b_sms_auth | (需要b.apk,猜测:请求短信权限) | |
| 通知验证 | (需要b.apk,猜测:为应用程序启用通知) | |
| b_use_auth | (需要b.apk,猜测:请求使用统计权限) | |
| b_alert_auth | (需要b.apk,猜测:请求覆盖权限) | |
| 再次上传 | 重新上传录制的视频 | |
| 禁用 | 禁用辅助功能 |
该木马Android变种使用的HTTP API描述如下:
| API端点 | 描述 |
| /api/app/uploadidcard | 发送上传身份证图片的云URL |
| /api/应用程序/登录 | 提交用户在虚假登录页面上输入的用户名和电话号码 |
| /api/应用程序/getfrpconfig | 获取快速反向代理的配置值 |
| /api/app/getBPackageUrl | 检索“B”包的 URL |
| /api/应用程序/applyauth | 报告它拥有什么权限 |
| /api/应用程序/applynoauth | 报告它没有什么权限 |
| /api/应用程序/changesignal | 报告 ping 速度 |
| /api/应用程序/更改wifi状态 | 报告是否使用 wifi |
| /api/app/checkdestruction | 检查是否要卸载 |
| /api/应用程序/保存设备 | 发送有关受感染手机的信息,例如设备产品、品牌、型号、语言、电池、国家/地区、ISP |
| /api/应用程序/getbankconfig | (没用过) |
| /api/应用程序/isonline | 活跃 ping |
| /api/app/savealbum | 发送上传图片的云URL |
| /api/应用程序/saveapps | 已安装的应用程序列表 |
| /api/应用程序/saveauthlog | (没用过) |
| /api/应用程序/savebanklog | (没用过) |
| /api/应用程序/保存联系人 | (没用过) |
| /api/应用程序/savedoclog | (没用过) |
| /api/应用程序/savelocklog | (没用过) |
| /api/应用程序/savemask | 更新面罩状态 |
| /api/app/savemessagelog | (没用过) |
| /api/app/savenewslog | (没用过) |
| /api/应用程序/savesendsms | (没用过) |
| /api/应用程序/savesms | 上传被盗短信 |
| /api/应用程序/保存视频 | 发送上传视频的云URL |
| /api/应用程序/savevideolog | (没用过) |
| /api/应用程序/在线 | 收到“Heartbeat”后向该API发出请求 |
| /api/app/synclockbank | (没用过) |
| /api/app/updatePhoneStatus | (没用过) |
| /api/应用程序/updatepwd | 保存虚假的应用程序登录密码 |
| /api/应用程序/updatebanklog | (没用过) |
| /api/app/updatebanklogmm | (没用过) |
| /api/应用程序/updatedoclog | (没用过) |
| /api/应用程序/updatelocklog | (没用过) |
| /api/应用程序/updatelockstatus | (没用过) |
| /api/app/updatemessagelog | (没用过) |
| /api/app/updatenewslog | (没用过) |
| /api/app/updatesmsstatus | (没用过) |
| /api/应用程序/updatevideolog | (没用过) |
| /api/应用程序/上传进度 | 报告视频上传进度 |
淘金者家族
GoldDigger 与常见的银行木马有更多共同点。首先,我们只发现了GoldDigger 的 Android 变种。该恶意软件利用病毒箱保护器– Android 打包程序。它是公司用来防止其软件被破解的软件保护解决方案。它包括反逆向工程功能,例如dex 加密、dex 虚拟化、资产加密以及保护应用程序使用的本机库。该保护器还能够检测已取得 root 权限的设备和模拟设备。
作为迈向成熟的又一步,为了增加检测的难度,GoldDigger 决定滥用 Android 的缺陷在解析 Android BinaryXML 格式时,导致许多第三方工具在解析 AndroidManifest.xml 文件时失败。
淘金者
这是Group-IB 发现的 GoldDigger 的第一个变种并且它仍在流通。其功能具有最基本的性质,主要通过利用 Accessibility Service 来检索银行凭证。迄今为止,我们只发现它冒充了2 个不同的应用程序:越南政府信息门户网站和越南当地电力公司。
图 21. GoldDigger 木马的屏幕截图(左:登陆屏幕,右:启用辅助服务后)
启动后,GoldDigger 木马会要求用户启用辅助功能服务权限。 Android 的无障碍服务最初旨在帮助残障用户操作其设备,例如屏幕阅读、基于手势的控制、语音转文本等。向 GoldDigger 授予辅助功能服务使其能够全面了解用户操作并与用户界面元素进行交互。这意味着它可以查看受害者的余额,获取为双因素身份验证颁发的第二个凭据,并实现键盘记录功能,从而允许其捕获凭据。
启用辅助服务后,它将授予自己额外的权限,例如允许通知、隐藏最近的任务、保持自己在后台运行,所有这些都通过一系列模拟点击来完成。
GoldDigger 的主要特点是它针对的是来自越南金融公司的 50 多个应用程序,其中包括木马中的软件包名称。每当目标应用程序打开时,它都会保存用户界面上显示或写入的文本,包括输入的密码。该木马还通过包含 40 多个移动防病毒应用程序的名称来展现规避能力。每当用户尝试打开任何这些应用程序时,恶意软件都会将其重定向到主屏幕,使受害者无法访问预期的应用程序。
此版本的 GoldDigger 包含调试日志。此外,它还硬编码了一对域,一个域用于测试目的,另一个域用于实际执行。再加上它是第一个发现的木马,我们相信这是 GoldFactory 恶意软件在演变为其他变体之前的基本版本。
以下是支持的命令列表:
|
头型
|
指令
|
描述
|
|---|---|---|
| 心跳 | 向 C2 发送活动 ping | |
| 在里面 | – | 发送有关受感染手机的信息,例如产品、品牌、型号、android_id、国家/地区、语言、ISP、版本 |
| 信息 | 短信 | 获取电话留言 |
| 同步 | 获取当前UI节点信息 | |
| 夜间/升级/阳光 | 不同的蒙版模式 | |
| 唤醒 | 唤醒电话 | |
| 快照 | (未实现) | |
| 力量 | 锁屏 | |
| 密码错误 | 输入密码时创建多次失败尝试 | |
| 毫米 | 输入手机密码 | |
| 沉默的 | 沉默的 | |
| 重新静音 | 取消静音 | |
| 滑块解锁 | 使用给定的手势坐标解锁 | |
| 打开应用程序 | 打开消息应用程序 | |
| 截屏 | (未实现) | |
| 获取应用程序 | 获取已安装应用程序的列表 | |
| 卸载 | 如果设置为 1,则允许卸载 | |
| 刷新 | 与同步相同 | |
| 应用 | 开始申请 | |
| 清除缓存 | 清除应用程序的缓存 | |
| 输入 | 输入文本 | |
| 复制输入 | 在给定节点索引处输入文本 | |
| 点击ID | 单击给定的 view_id | |
| 点击 | 单击给定坐标 | |
| 长按 | 在给定坐标处长按 | |
| 滑动 | 滑动 | |
| 菜单 | 打开最近的记录 | |
| 家 | 回家 | |
| 后退 | 后退 | |
| 左/右/上/下 | 手势 | |
GoldDigger变体中使用的HTTP API的描述如下所示:
| API端点 | 描述 |
| /api/应用程序/canuninstall | 检查应用是否可以卸载 |
| /api/应用程序/更新设备 | 更新设备信息,例如电池百分比、短信权限 |
| /api/应用程序/updateauth | 更新设备已“初始化” – 授予额外权限、忽略电池优化、启用通知等 |
| /api/应用程序/savedevice2 | 发送设备信息,例如:产品、品牌、型号、android_id、国家/地区、语言、ISP、版本 |
| /api/应用程序/getpackage | 更新目标应用程序列表 |
| /api/应用程序/isonline | 每 30 秒发送一次活动 ping |
| /api/应用程序/saveapps | 已安装的应用程序列表 |
| /api/应用程序/保存历史记录 | 保存的键盘节点信息 |
| /api/app/saveinputbk | 发送被盗的银行凭证 |
| /api/应用程序/保存日志 | 发送被盗的手机密码 |
| /api/应用程序/savemask | 口罩状态 |
| /api/应用程序/savesms | 上传被盗短信 |
| /api/应用程序/在线 | 收到C2发来的3条“心跳”消息后 |
| /api/应用程序/更新应用程序时间 | (没用过) |
| /api/应用程序/翻译 | (没用过) |
| /api/应用程序/getbkmm | (没用过) |
| /api/app/getlockmm | (没用过) |
| /api/应用程序/保存屏幕截图 | (没用过) |
淘金者Plus
Group-IB 于 2023 年 9 月检测到 GoldDiggerPlus 与 GoldFactory 造成的其他木马不同。值得注意的是,它包含第二个 APK,也名为“b.apk”,并且具有最广泛的功能。但与 GoldPickaxe 不同的是,b.apk 嵌入在 GoldDiggerPlus 中,因此我们能够对其进行分析。
Group-IB 将 GoldDiggerPlus GoldKefu中嵌入的第二个 APK 命名为“kefu”,中文意思是客户服务(客服),该字符串反复出现在其代码中。选择命名约定还反映了 GoldKefu 的主要功能之一——冒充客户支持服务给受害者打电话的能力。 GoldDiggerPlus 和 GoldKefu 这 2 个 APK 协同工作以发挥其全部功能。我们假设这是 GoldPickaxe 木马的一个过渡阶段,因为该版本具有最多的实验性功能,但分布不如 GoldDigger 广泛。该版本有一个初始登录页面,要求输入用户名和电话号码,这些信息将在提交后发送到 C2。登录后,会请求启用无障碍服务。
图 22. GoldDiggerPlus 的显示屏
与主要依赖辅助服务的 GoldDigger 相比,GoldDiggerPlus 和 GoldKefu使用 webfakes 来收集凭据或执行有针对性的诈骗电话。我们得出的结论是,GoldDiggerPlus 的主要目的是向 C2 服务器验证自身身份、在请求权限时执行自动点击、记录屏幕并通过实时消息协议 (RTMP) 传输源。
它还在授予权限方面比 GoldDigger 进行了改进。现在采用更加模块化和受控的方法,当 C2 发出命令时请求并授予许可。它不会像 GoldDigger 那样一次性授予所有权限。
以下是 GoldDiggerPlus 可用的命令表:
| 头型 | 指令 | 描述 |
|---|---|---|
| 心跳 | 向 C2 发送活动 ping | |
| 在里面 | – | 发送有关受感染手机的信息 |
| 信息 | 同步 | 获取当前UI节点信息 |
| 点击 | 单击给定坐标 | |
| 长按 | 在给定坐标处长按 | |
| 滑动 | 滑动 | |
| 菜单 | 打开最近的记录 | |
| 家 | 家 | |
| 后退 | 后退 | |
| 快照 | (未实现) | |
| 唤醒 | 唤醒电话 | |
| 力量 | 锁屏 | |
| 密码错误 | (未实现) | |
| 毫米 | (未实现) | |
| 短信 | (未实现) | |
| 滑块解锁 | 使用给定的手势坐标解锁 | |
| 沉默的 | 沉默的 | |
| 重新静音 | 取消静音 | |
| 打开应用程序 | 打开消息应用程序 | |
| 左/右/上/下 | 手势 | |
| 刷新 | 与同步相同 | |
| 点击ID | 单击给定的 view_id | |
| 截屏 | (未实现) | |
| 获取应用程序 | (未实现) | |
| 卸载 | (未实现) | |
| 应用 | (未实现) | |
| 清除缓存 | (未实现) | |
| 复制输入 | (未实现) | |
| 输入 | (未实现) | |
| 发简讯 | 发送测试短信“hello”至 10086(需要 GoldKefu) | |
| 安装 | 授予安装所需的权限并安装嵌入式 b.apk (GoldKefu) | |
| a_sunlight / a_upgrade / a_night | 不同的蒙版模式 | |
| 屏幕录制 | 开始屏幕录制 | |
| googleplay_auth | 禁用 Google Play 保护 | |
| 短信认证 | 请求 READ_SMS、SEND_SMS 和 RECEIVE_SMS 权限(需要 GoldKefu) | |
| 联系人验证 | 请求 READ_CONTACT 和 WRITE_CONTACT 权限(需要 GoldKefu) | |
| 通知验证 | 启用应用程序通知(需要 GoldKefu) | |
| 使用验证 | 请求使用统计权限(需要 b.apk) | |
| 警报验证 | 请求 MANAGE_OVERLAY_PERMISSION(需要 GoldKefu) | |
| 刷新验证 | (未实现) | |
| 麦克风验证 | 请求 RECORD_AUDIO 权限(需要 GoldKefu) | |
| 相机验证 | 请求 CAMERA 权限(需要 GoldKefu) | |
| 专辑验证 | 请求 READ_EXTERNAL_STORAGE 权限(需要 GoldKefu) | |
| 果阿 | 开始登录活动 | |
| 戈布 | 开始 GoldKefu 的主要活动 | |
| 结束 | 禁用辅助功能 | |
金可夫
如前所述,GoldKefu 是 GoldDiggerPlus 内的嵌入式 APK。在 Group-IB 威胁情报部门分析的样本中,GoldKefu 使用其徽标冒充了一款流行的越南消息应用程序。
图23:GoldKefu安装
GoldKefu 扮演窃取手机银行凭证的角色。每隔 500 毫秒,GoldKefu 就会检查最近打开的应用程序是否属于目标列表,如果发出“allow_alert”命令,则会启动 webfake。它的目标清单减少到只有 10 家来自越南金融公司的申请。
图 24. GoldKefu 中嵌入的冒充越南金融组织的网络造假样本
一个关键特性是集成Agora 软件开发套件(软件开发工具包)。该SDK引入了实时语音和视频通话等功能。要加入呼叫通道,它将从 C2 检索必要的配置,例如 appId、通道名称和令牌。当使用“call”命令时,木马还会检索一些虚假值,例如用户名、号码和要显示的图标,即它冒充的品牌。 Group-IB 的威胁情报部门认为该组织拥有讲泰语和越南语的运营商。
还有一个显示虚假警报的“send_call”命令。这是一种恐吓策略,向受害者灌输恐惧。虚假警报中的默认文本大致翻译为“300 万泰铢已转移给另一个人。交易将在10分钟内完成,如果交易不是您本人完成,请联系银行客服。”该默认文本为中文,但所有这些文本都可以替换为从 C2 发送的自定义文本,这些文本很可能会被本地化。受害者将被诱骗点击“联系银行客户服务”按钮。
当受害者点击“联系”按钮时,它将加入网络犯罪分子创建的呼叫通道。它还会显示一个呼叫屏幕,显示的文字伪装成假的银行客户服务。
如果受害者关闭警报,则会向 C2 发送一条消息“用户主动关闭短信,但是能确认用户已读,可考虑主动出击”,意思是“用户关闭了消息,但已阅读。考虑积极干预”。我们假设网络犯罪运营商会在这种情况下发起呼叫。
图 25. 虚假警报屏幕(恐吓策略)和分析师插入任意值的呼叫屏幕
它还可以阻止银行申请打开。与 GoldDigger 不同的是,GoldDigger 只是将用户重定向到主屏幕,GoldKefu 会显示虚假的“银行错误”警报。文字直接翻译为:“您的银行帐户处于异常状态。保护模式已开启。您可以联系银行客服解冻账户。”这是默认文本,但将被 C2 发送的自定义文本覆盖。这使得受害者无法访问预期的应用程序。
图 26. 虚假银行错误警报
这种预防机制有一个有趣的变化。当受害者点击此警报上的联系客户服务按钮时,它会检查当前时间是否在网络犯罪分子的工作时间内,时区设置为GMT+8。如果确实如此,它将尝试寻找免费接线员进行呼叫。这几乎就像网络犯罪分子正在经营一个合法的客户服务中心一样。
前面提到的所有变体都使用websocket来监听命令并通过 HTTP 将执行结果发送回相应的 API 端点,大多数数据通常使用RSA 加密进行加密。然而,GoldKefu 确实使用 websocket 发送回时间敏感的数据,特别是与呼叫相关的数据。
其他较小的功能包括设置BroadcastReceiver来监听传入的 SMS 并将其上传到 C2。还值得注意的是,“album”命令仅上传最近的 10 张照片,而 Android 版 GoldPickaxe 则上传 100 张照片。
以下是 GoldKefu 可用的命令表:
| 头型 | 指令 | 描述 |
|---|---|---|
| 心跳 | – | 接收 client_id 并向 C2 发送活动 ping |
| 在里面 | – | 发送有关受感染手机的信息 |
| 信息 | 同步 | (未实现) |
| 截屏 | (未实现) | |
| 夜间/阳光/升级 | 不同的屏幕遮罩模式 | |
| 短信 | 获取手机短信 | |
| 警报 | 虚假银行警报,诱骗受害者打开真正的银行应用程序 | |
| 向上 | 虚假银行警报,诱骗受害者打开真正的银行应用程序 | |
| 接触 | 获取联系人列表 | |
| 发简讯 | 发简讯 | |
| 德尔姆斯 | 删除短信 | |
| 获取应用程序 | 获取已安装的应用程序 | |
| 应用 | 启动特定应用程序 | |
| 家 | 主屏幕 | |
| 允许警报 | 允许显示银行网络假信息 | |
| 称呼 | 加入通话频道 | |
| 挂断 | 离开通话频道 | |
| 转移 | 更改通话屏幕上显示的姓名和电话号码、保持时播放音乐 | |
| 发送呼叫 | 显示虚假警报,诱使受害者致电接线员 | |
| 消息 | 打开新闻网址 | |
| 文档 | 打开文档图像 | |
| 开放式摄像头 | 启动摄像头,启动RTMP流 | |
| 关闭相机 | 停止摄像头,将视频上传至云端 | |
| 专辑 | 上传相册中最新的 10 张照片 | |
| 增加联系人 | 增加联系人 | |
| 锁 | 将应用程序添加到lock_map(lock_map阻止应用程序被打开) | |
| 开锁 | 从lock_map中删除应用程序 |
下表包含 GoldDiggerPlus 和 GoldKefu 的 API 端点描述:
| API端点 | 描述 |
| /api/应用程序/登录 | 提交用户在虚假登录页面上输入的用户名和电话号码 |
| /api/应用程序/applyauth | 报告它拥有什么权限 |
| /api/应用程序/applynoauth | 报告它没有什么权限 |
| /api/应用程序/savedevicea | 从 GoldDiggerPlus 发送设备信息 |
| /api/应用程序/savedeviceb | 从GoldKefu发送设备信息 |
| /api/应用程序/getdownloadurl | 获取b包的下载地址,但未使用 |
| /api/应用程序/getbankconfig | 检索虚假银行警报的配置值 |
| /api/app/savealbum | 发送上传文件的 URL |
| /api/应用程序/saveapps | 发送安装应用程序列表 |
| /api/应用程序/saveauthlog | 记录消息 |
| /api/应用程序/savebanklog | 记录消息 |
| /api/应用程序/保存联系人 | 发送电话联系方式 |
| /api/应用程序/savedoclog | 记录消息 |
| /api/应用程序/savelocklog | 记录消息 |
| /api/应用程序/savemask | 更新面罩状态(GoldKefu) |
| /api/app/savemaskfora | 更新掩码状态(对于 GoldDiggerPlus) |
| /api/app/savemessagelog | 记录消息 |
| /api/app/savenewslog | 记录消息 |
| /api/应用程序/savesendsms | 保存 C2 使用受感染手机发送的短信副本 |
| /api/应用程序/savesms | 发送收集的短信 |
| /api/app/savesendsmstatus | 更新发送短信权限状态 |
| /api/应用程序/savevideolog | 记录消息 |
| /api/应用程序/在线 | 收到“Heartbeat”后向该API发出请求 |
| /api/app/synclockbank | 同步lock_map |
| /api/app/updatePhoneStatus | 更新手机锁定状态 |
| /api/应用程序/updateaauth | 更新辅助功能服务已启用 |
| /api/应用程序/updatebanklog | 记录消息 |
| /api/app/updatebanklogmm | 发送使用 webfakes 收集的银行凭证 |
| /api/app/updatecallstatus | 更新通话状态 |
| /api/应用程序/updatedoclog | 记录消息 |
| /api/应用程序/updatelocklog | 记录消息 |
| /api/应用程序/updatelockstatus | 更新指定包的lock_map |
| /api/app/updatemessagelog | 记录消息 |
| /api/app/updatenewslog | 记录消息 |
| /api/app/updatesmsstatus | 短信发送状态 |
| /api/应用程序/updatevideolog | 记录消息 |
| /api/应用程序/调用 | 获取加入通话频道所需的appId、token、频道名称 |
| /api/应用程序/idleuser | 获取是否有空闲的网络犯罪呼叫接线员 |
| /api/应用程序/getworktime | 获取网络犯罪呼叫接线员的工作时间 |
GoldFactory 的网络安全财富:新的淘金热
最近困扰越南和泰国等亚太国家银行的移动木马数量增加,部分原因在于 GoldFactory 组织,这是一个有组织的中文网络犯罪集团。我们相信他们是一个足智多谋的团队,涉及木马开发、分发和金融盗窃过程中的众多人员。该团队由专门针对特定区域的不同开发和运营团队组成。我们发现 GoldFactory 恶意软件的不同版本同时活跃地分布在不同国家/地区。迄今为止,我们只能确认 GoldDigger、GoldDiggerPlus、GoldKefu 和 GoldPickaxe 是该组织的杰作。
他们的操作人员精通目标国家/地区使用的母语,可以有效地进行欺诈。我们还倾向于相信这些团队在 2 个目标国家/地区( GMT+7 ) 内运营,尽管他们的代码表明 他们的工作时间位于GMT+8 时区。我们不确定开发人员是否出于习惯而编写 GMT+8,或者他们远程工作但仍然居住在该时区。
GoldFactory 是一个足智多谋的团队,他们有很多伎俩:冒充、可访问性 键盘记录、虚假银行网站、虚假银行警报、虚假来电屏幕、身份和面部识别数据收集。配备多样化的工具,他们可以灵活地选择和执行最适合场景的工具。他们是一支战略性且精心策划的团队。泰国面部生物识别政策的消息于 2023 年 3 月发布,将于 7 月实施。我们在十月初发现了 GoldPickaxe 最早的踪迹。因此,我们假设总共花了三个月的时间来研究、概念化、实施和测试新的面部识别数据收集功能。他们了解自己的目标环境,并不断改进工具集以适应目标环境。他们的开发人员也展示了他们在软件开发方面相对较高的熟练程度。
我们有迹象表明该团队是讲中文的。在所有恶意软件变体中都发现了中文调试字符串,并且它们的 C2 面板都是中文的。此外,团队偏向使用阿里云云、Virbox Protector、ThinkPHP框架等国产软件。
| 简单中文 | 翻译成英文 |
| 上传失败:%@ | 上传失败: %@ |
| 上传文件详细信息: %f | 上传文件进度:%f |
| 收到消息:%@ | 收到消息:%@ |
| 断开重连,websocket已断开:%@ | 断开连接并重新连接,websocket 已断开连接:%@ |
| 状态:%d | 状态:%d |
| 转换失败:%@ | 转换失败:%@ |
图 27. 登录 GoldDigger 管理面板的示例
Gigabud,GoldDigger 的哥哥?
GoldDigger和Gigabud 恶意软件系列是亚太地区最活跃的移动木马之一Group-IB 威胁情报部门的最新调查结果。 GoldDigger 和 Gigabud 在分析过程中很容易被误认为彼此。尽管它们存在固有的差异,但它们的模拟目标和登陆页面的相似之处可能会导致混乱。它们是两个不同的家族,很容易通过代码库的巨大差异来区分。 Gigabud 拥有更好的软件架构,并遵循更逻辑结构化的代码库,使用模型-视图-控制器 (MVC) 架构。另一方面,GoldDigger 严重依赖处理程序和回调函数。此外,Gigabud 使用 Retrofit 库与其 HTTP API 端点进行通信,而 GoldDigger 仅使用 OkHttp 库。他们的命令和控制表也有很大不同。
在调查过程中,我们发现使用这两个木马的活动之间存在一些相似之处。然而,我们对于将 Gigabud 的最初开发归因于 GoldFactory 犹豫不决,但仅得出结论:他们确实分发了它。
样品
当 Group-IB 研究人员首次发现 GoldDigger 时,我们注意到 Gigabud 的样本也开始装有 Virbox Protector。此外,Gigabud最近在越南也很活跃。追溯到2023年7月,我们还发现Gigabud确实曾试图冒充越南政府信息门户网站,GoldDigger 最喜欢的冒充目标。
在我们最近对针对泰国的 Gigabud 样本进行的一项分析中,我们发现它也模仿了数字养老金应用程序。此外,Gigabud 已开始融入新功能,例如 FRP、身份证件收集、面部识别数据捕获、Agora SDK,类似于 GoldPickaxe 中的新功能。
图 28. Gigabud 的数字养老金登录屏幕
着陆点
我们注意到他们分发恶意软件的登陆页面有相似之处。单击右侧的小浮动窗口即可在 URI 路径 /image 处下载 APK。
图 29. 登陆页面 – GoldDigger(左)、Gigabud(右)
GoldPickaxe 和 Gigabud 的假数字养老金分发页面之间几乎没有明显区别。
图 30. 登陆页面 – GoldPickaxe(左)、Gigabud(右)
在他们的登陆页面中,他们使用了一个简短的脚本来检查用户是否正在使用 Apple 设备打开登陆页面。如果为 true,则不会显示任何内容。
图 31. 登陆页面上的用户代理检查脚本 – GoldDigger(左)、Gigabud(右)
基础设施
我们发现他们的基础设施存在重叠。他们在GoldDiggerPlus中支持RTMP 流,我们发现他们在其服务器上托管了Simple Realtime Server (SRS)版本 6.0.59。 SRS是一个高效的实时视频服务器。在对Gigabud的调查中,我们发现其一台服务器18[.]143[.]229[.]200也曾托管过SRS。
他们为C2注册的域名有一些相似之处。这些域看起来像是从某种域生成算法 (DGA) 中随机生成的。该模式很短,大约4-5 个字符长,大多数时候包含一个数字。
这两个恶意软件 C2 都开始使用顶级域名“.cc ”。然而,最近两个恶意软件 C2 服务器后来都迁移到使用“.xyz”顶级域。除早期的 Gigabud 域名外,所有域名均在域名注册商“ Gname.com ”处注册。
| 掘金者 / 金镐 | 吉加布德 |
| ks8cb[.]cc | bweri6[.]cc |
| ms2ve[.]cc | blsdk5[.]cc |
| zu7kt[.]cc | nnzf1[.]cc |
| t8bc[.]xyz | 应用程序[.]js6kk[.]xyz |
| bv8k[.]xyz | 应用程序[.]re6s[.]xyz |
| hzc5[.]xyz | 应用程序[.]bc2k[.]xyz |
结论
移动恶意软件领域已成为一个利润丰厚的市场,吸引了寻求快速经济利益的网络犯罪分子的注意力。为了应对这种不断升级的威胁,金融机构采取了一系列防御措施。然而,与此同时,网络犯罪分子的策略已经发展到智取并击败这些防御策略。 GoldFactory 集团就是这种动态的一个突出例子。
GoldFactory 等威胁参与者拥有明确定义的流程、操作成熟度,并表现出更高水平的独创性。他们同时开发和分发针对不同地区的恶意软件变体的能力显示出令人担忧的复杂程度。
除了技术技能之外,网络犯罪分子的创造力和社会工程能力也越来越强。该技术仍然是网络犯罪武器库中的有力武器,是向受害者设备传送恶意软件的主要方法。通过利用人类的心理和信任,不良行为者构建了复杂的计划,甚至可以欺骗最警惕的用户。社会工程攻击,无论是通过虚假网站还是社交操纵,都是针对人类的弱点。
我们的报告强调了网络安全威胁的紧迫性,并强调了网络犯罪分子针对个人使用复杂技术的情况。这些网络对手的适应能力非常出色,他们的欺诈计划的演变就证明了这一点。除了改进原始 GoldDigger 恶意软件的功能之外,他们还引入了专门收集面部识别数据的新恶意软件系列。他们还开发了一种工具,可以促进受害者与冒充合法银行呼叫中心的网络犯罪分子之间的直接沟通。
总之,网络犯罪策略的不断演变(以 GoldFactory 恶意软件的复杂性为代表)强调了对主动、多方面的网络安全方法的迫切需要,包括用户教育和集成的现代安全方法,以主动检测新特洛伊木马的出现并通知最终用户。
IB 集团欺诈矩阵
建议
对于金融机构
- 实施用户会话监控系统,例如Group-IB 的欺诈保护在用户输入任何个人信息之前检测恶意软件的存在并阻止异常会话。
- 查看Group-IB 关于神经网络和 Deepfake 技术的欺诈性使用的网络研讨会
- 教育您的客户关于移动恶意软件的风险。这包括教他们识别虚假网站和恶意应用程序以及保护他们的密码和个人信息。
- 用一个数字风险防护该平台可检测数字表面上非法使用您的徽标、商标、内容和设计布局的情况。
- 维护安全的组织需要持续保持警惕,并使用 Group-IB 等专有解决方案威胁情报可以通过为安全团队提供对新出现的威胁的最新见解来帮助组织巩固其安全态势。
对于最终用户
- 不要点击可疑链接。移动恶意软件通常通过电子邮件、短信和社交媒体帖子中的恶意链接进行传播。
- 仅从 Google Play Store、Apple App Store、华为 AppGallery 等官方平台下载应用程序。
- 如果需要下载第三方应用程序,请谨慎行事。
- 安装新应用程序时请仔细检查所请求的权限,并在应用程序请求辅助功能服务时保持高度警惕。
- 不要将陌生人添加到您的Messenger中。
- 联系您的银行时,请查找并使用他们的官方联系电话。如果您认为您的设备已被感染,请勿单击银行警报/弹出窗口。
- 如果您认为自己被诈骗,请联系您的银行冻结您的设备已访问的所有银行账户。
您的手机可能感染恶意软件的迹象
- 电池耗尽。如果您手机的电池消耗速度比平时快得多,则可能是恶意软件在后台运行的迹象。
- 异常数据使用。无任何明显原因的数据使用量增加可能表明存在恶意软件感染,尤其是在您没有更改使用模式的情况下。
- 性能缓慢。恶意软件会消耗系统资源,导致性能下降。如果您的手机突然变得缓慢或频繁死机,则可能是一个危险信号。
- 不熟悉的应用程序。检查已安装的应用程序列表中是否有任何不熟悉或可疑的应用程序。一些恶意软件将自己伪装成合法应用程序。
- 权限突然增加。如果您发现某些应用程序获得了不必要的权限,或者某些应用程序对您的设备具有过多的访问权限,则可能是存在安全问题的迹象。
- 过热。恶意软件可能会导致您的手机过热,因为它会耗尽设备的资源。如果您的手机感觉异常发热,则值得进行调查。
- 奇怪的行为。如果您的手机表现出奇怪的行为,例如自行拨打电话、未经您同意发送消息或未经您输入访问应用程序,则可能是恶意软件的迹象。
尝试 Group-IB 的威胁情报平台
有效抵御威胁并主动识别攻击者
| 木马 | SHA256 |
| 金镐.iOS | 4571f8c8560a8a66a90763d7236f55273750cf8dd8f4fdf443b5a07d7a93a3df |
| 金镐.Android | b72d9a6bd2c350f47c06dfa443ff7baa59eed090ead34bd553c0298ad6631875 |
| 淘金者 | d8834a21bc70fbe202cb7c865d97301540d4c27741380e877551e35be1b7276b |
| 淘金者Plus | b5dd9b71d2a359450d590bcd924ff3e52eb51916635f7731331ab7218b69f3b9 |
