病毒概述

近日，天融信諦聽實驗室監測到一款名叫GoldPickaxe的 “人臉劫持”犯罪軟件，它可以竊取用戶的面部識別等生物特征數據、攔截短信以及代理設備流量。GoldPickaxe木馬病毒支持iOS和Android版本，是目前發現的首個iOS木馬病毒。不同于傳統的竊取資金方式，GoldPickaxe木馬病毒并不直接從受害者手機中盜取資金，而是通過收集受害者信息來創建深度偽造視頻，并自動訪問受害者的銀行應用程序，允許黑客未經授權訪問受害者銀行賬戶。

目前GoldPickaxe活躍在越南和泰國，不過幕后攻擊者已經開始擴大活動范圍，天融信會持續監控該團伙動態并積極做好安全防御工作。

病毒分析

GoldFactory開發的這套復雜木馬GoldPickaxe自2023年中期以來一直活躍，其受害者分布在越南和泰國，目前已發現的所有木馬均處于活躍的進化階段。

GoldPickaxe有Android版本和iOS版本，其中Android版本會使用Virbox加殼保護，具備較為完善的惡意功能。由于iOS平臺的封閉性和權限檢查相對嚴格，iOS版本已解壓且沒有規避技術，但功能相比Android版本較少。

GoldFactory的詐騙流程大致如下：

一、通過短信、電話、郵件等多種方式誘騙用戶訪問虛假登錄頁面

二、受害者下載并安裝GoldPickaxe偽裝的虛假“數字養老金”應用程序

三、受害者被GoldPickaxe引導輸入私密信息，并提示受害者錄制視頻作為確認材料

四、受害者錄制的視頻被通過換臉人工智能服務創建成深度偽造視頻

五、黑客未經授權訪問銀行賬戶并竊取資金

GoldPickaxe.iOS木馬將自己偽裝成泰國政府服務應用程序并通過濫用MDM計劃進行傳播。MDM是一種全面的集中式解決方案，用于管理和保護組織內的移動設備（例如智能手機和平板電腦）。MDM的主要目標是簡化設備管理任務、增強安全性、確保遵守組織策略并部署應用程序。

黑客通過社會工程欺騙用戶下載MDM配置文件。一旦安裝此配置文件，黑客就會獲得對設備的控制權限，例如遠程擦除、設備跟蹤和應用程序管理。黑客利用這些功能來安裝GoldPickaxe惡意應用程序并獲取他們所需的信息。

GoldPickaxe 采用與命令和控制 (C2) 服務器的雙重通信方法，利用Websocket接收命令，利用HTTP發送執行結果。在Android設備中Websocket通常使用端口8282，而iOS設備中通常使用端口8383。接收到命令后，惡意軟件將執行的結果通過 HTTP 傳輸到各自的 API 端點，所有命令均采用JSON格式。通過Websocket從C2接收的命令未加密，但發送到 HTTP API端點的結果使用rsa進行加密。最終GoldPickaxe會將受感染設備的數據泄露到阿里云中存儲。

GoldPickaxe.Android使用的HTTP API具體如下：

GoldPickaxe的另一個功能是它創建一個SOCKS5代理服務器和快速反向代理 (FRP)。GoldPickaxe啟動后，GoldPickaxe.iOS會使用JetFire庫連接到Websocket 。該庫用于實現可以在后臺無阻塞通信的Websocket客戶端。如果連接成功，它將在本地主機 ( 127.0.0.1:1081 ) 上啟動SOCKS5服務器，同時啟動反向代理以啟用連接。

在開始之前，GoldPickaxe會發出HTTP請求以獲取代理服務器配置。服務器配置存儲在手機Documents文件夾中的newconfig.ini文件，之后受感染的手機會收到包含受欺詐控制的服務器地址的配置。它使用以下模板，該模板可在IPA文件中找到。

黑客使用GitHub上提供的輕量級項目——MicroSocks來實現代理功能。

程序引用了WuOtto/OttoKeyboardView開源安全鍵盤模擬銀行APP。

為了集成用Go編寫的FRP庫，GoldPickaxe使用Golang 移動綁定模塊以適用于Android和iOS，這有助于獲取網絡地址轉換 (NAT) 或防火墻后面的本地服務器信息。之后所有流量都會通過同時啟動的電話代理服務器進行重定向。

GoldPickaxe.Android對受害者的控制命令列表如下：

該團伙會要求用戶拍照來竊取身份證照片、從受害者相冊中檢索照片并捕獲面部識別數據，之后采用人工智能換臉技術利用竊取到的生物識別數據，以獲得受害者的銀行應用程序授權。開發人員使用Google的ML Kit進行人臉檢測，當發出“面部”命令時，將進行面部掃描，錄制面部視頻時，會給出一些眨眼、微笑、向左、向右、向下點頭、向上和張嘴等指令。這種方法通常用于創建全面的面部生物特征檔案，這些視頻和圖片會被上傳到云端存儲點。

人臉識別的實現程序FaceViewController中調用google faceDetector工具集進行人臉識別，并對獲取的人臉視頻以H264視頻格式上傳到C2服務器。

在IDcardViewController中實現獲取身份證正反面信息，并保存為圖片上傳。

綜上所述，黑客利用GoldPickaxe木馬從受害者設備中提取資金的方案概括如下：

GoldFactory的手機銀行木馬仍在不斷發展。例如，Android惡意軟件包含未實現的處理程序或未使用的功能。在此提醒廣大用戶切勿輕易相信陌生鏈接和應用程序，以防上當受騙。

防護建議

不要點擊可疑鏈接。避免通過電子郵件、短信和社交媒體帖子中的惡意鏈接感染移動惡意軟件。

通過官方平臺下載應用程序。不輕易運行不明程序和壓縮文件、不在非正規平臺下載軟件。

安裝新應用程序時請仔細檢查所請求的權限，并在應用程序請求輔助功能服務時保持高度警惕。

不要在常用的聊天軟件中隨意添加陌生人。

如果存疑，請直接致電銀行，而不是點擊手機屏幕上的銀行警報窗口。

附錄

樣本IOCs列表：

天融信產品防御配置

? 天融信EDR系統防御配置

1、通過微隔離策略加強訪問控制，降低橫向感染風險；

2、開啟文件實時監控功能，可有效預防和查殺該勒索病毒;

3、開啟系統加固功能，可有效攔截該勒索病毒對系統關鍵位置進行破壞和篡改。

? 天融信僵尸網絡木馬和蠕蟲監測與處置系統配置

1、升級最新威脅情報庫，開啟威脅情報惡意文件檢測和捕獲功能，實時檢測和捕獲網絡中傳輸的GoldPickaxe新型人臉信息竊取病毒；

2、開啟威脅情報日志記錄和報警功能；

3、可配置旁路阻斷或者天融信防火墻聯動，攔截GoldPickaxe新型人臉信息竊取病毒的網絡傳播。

天融信產品獲取方式

天融信EDR單機版下載地址：

http://edr.topsec.com.cn

天融信僵尸網絡木馬和蠕蟲監測與處置系統威脅情報庫下載地址:

ftp://ftp.topsec.com.cn