金相狐黑产团伙:AI人脸识别诈骗敲响金融安全警钟
AI智能总结
金相狐黑产团伙:AI人脸识别诈骗 敲响金融安全警钟 2024年03月25日 摘要 人脸识别技术作为身份验证的主要手段,被广泛应用于账户风控、金融交易等场景。 金相狐组织制作投递伪装成泰国省电力局(PEA)应用的仿冒软件。 仿冒软件获得授权后,开始窃取面部特征数据和其他信息。 为了更好的实施金融诈骗,仿冒软件会下载并诱导受害者安装金融监控软件。 金融监控软件执行主控服务器下发的远程指令,监控受害用户金融软件使用情况,进行钓鱼攻击和运行锁定。 最后,金相狐组织通过受害者设备信息和大量的面部特征数据,通过AI换脸或合成等技术即有可能实现异地登录受害用户金融账户,实施转移财产等操作。 此次攻击活动对金融行业安全具有里程碑式的警示意义。 关键词:金相狐组织、人脸识别、面部生物特征数据、泰国省电力局(PEA)、身份证件信息、无障碍服务 目录 第一章序1 第二章攻击链图2 第三章仿冒软件分析4 一、权限申请4 二、人脸识别材料窃取6 三、账户钓鱼13 四、其他信息窃取16 五、API接口功能20 第四章金融监控软件分析23 一、API接口功能23 二、关键功能分析23 第五章总结29 IOCS30 附录1奇安信病毒响应中心30 附录2奇安信病毒响应中心移动安全团队30 第一章序 在当今数字化社会,人脸识别技术与金融领域的密切结合,为我们的生活带来了巨大便利,然而,新的机遇往往带来新的挑战。人脸识别技术作为身份验证的主要手段,被广泛应用于账户风控、金融交易等场景。 在2023年3月,泰国央行发布指示,要求银行在进行以下交易时采用面部生物特征验 证来确认身份:单笔交易金额达到50,000泰铢(约合1,430美元)或以上;每日转账超过 200,000泰铢;或者将移动设备上的信用转账限额提高到每次交易50,000泰铢以上。这一指示意味着银行在这些情况下不再使用一次性密码(OTP),而是采用面部生物特征验证来加强身份确认的安全性。 此次发现的攻击活动就是黑产团伙针对这一政策定制的新的攻击策略,攻击组织将诱饵恶意软件伪装成泰国省电力局(PEA)应用进行投递,至于为何选此软件,通过查询可知泰国省电力局(PEA)应用在GooglePlayStore的下载量就达500万+次,而电网交易又是用户生活必须事项。此前版本也常常伪装成泰国政府、金融部门和公共事业公司的相关应用程序,由此可见,这是他们惯用的伪装手段。不同的是攻击者在诱导受害用户安装此类仿冒软件后,还会在使用过程中诱导受害用户安装一个宣称为客服软件的金融监控软件,继而实施更加深入的诈骗活动。 经过深入分析后,我们将这个幕后组织命名为"金相狐("GoldenPhysiognomyFox)组织。 这个名字不仅仅是一个标签,而是一个对该组织行为和特点的生动描述:"金"代表了他们攫取金钱的目的,"相"则暗示了他们利用人脸识别技术的手段,而"狐"则象征了他们狡猾和欺骗的本质。这个名字既突出了他们的行为特点,又让我们更深入地了解到这个组织的本质。 接下来,让我们深入探讨"金相狐"组织的运作方式和对用户的威胁。 第二章攻击链图 此次攻击活动具有一定的复杂度,从目前我们掌握的情报数据进行分析,整个攻击过程可简要描述如下: Step1:金相狐组织制作投递伪装成泰国省电力局(PEA)应用的仿冒软件。 Step2:受害用户安装仿冒软件后,被诱导授予仿冒软件相关权限。 Step3:仿冒软件获得授权后,开始窃取面部特征数据和其他信息。 Step4:仿冒软件将窃取的受害者信息上传到云服务器和主控服务器。 Step5:同时,仿冒软件还会诱导用户安装金融监控软件,并使用意图开启此软件。 Step6:金融监控软件也会窃取诸如应用安装列表、设备信息和短信等信息到主控服务器。 Step7:同时,金融监控软件会接收主控服务器下发的远控指令,在用户使用金融软件时,进行用户金融软件账户密码窃取和锁定金融软件,禁止用户使用的行为,并将相关操作日志上传到主控服务器。 Step8:最后,金相狐组织通过受害者设备信息和大量的面部特征数据,通过AI换脸或合成等技术即有可能实现异地登录受害用户金融账户,实施转移财产等操作。 第三章仿冒软件分析 在高级威胁攻击中,常见的手法是将诱饵软件伪装成目标人群所需或使用量大的软件,例如政府软件和生活缴费软件。对此仿冒软件进行分析时,我们发现它不仅利用社会工程学手段诱导受害者,还在服务器端对受害者的真实性进行校验,可能通过目标用户电话匹配或官方软件泄露信息验证等手段,在提高目标精准度的同时还会给安全分析人员增加分析成本。 尽管仿冒软件在投递和信息窃取过程中主要使用社工手段,并没有使用漏洞攻击等高破坏性技术手段,看似并不具备什么高级技术能力。然而,在样本分析中,我们发现攻击者采用了多种技术手段进行自我保护和安全分析对抗,例如应用加固、运行环境检测、清单文件混淆和源码字符串加密等。 这次攻击活动中,受害者的面部生物特征数据被上传到云存储,同时将相应材料的云URL上传到主控服务器,而此次攻击中还会尝试将面部生物特征数据直接上传到主控服务器。在没有目标账户或真实账户等测试条件下,我们依托自身技术能力对伪装软件的窃取受害者信息的运行过程和主要功能进行了多维度的分析。 一、权限申请 随着移动系统对于用户保护的安全升级,应用程序在获取用户信息的时候,大多需要明确申请权限,获得用户授权后才能使用相应功能。而常见的恶意软件往往会申请大量的应用权限,此次攻击使用的仿冒软件申请权限多达29项,这些权限包含无障碍服务、相机、短信等高危权限。 在众多权限中,有一个比较特殊的权限——无障碍服务权限。无障碍服务是一套可以模拟操作的系统级别的API,用户同意之后就可以模拟操作,来控制用户的手机。恶意软件常常通过诱导的方式来获得此权限,下面就该仿冒软件申请此权限做简要说明。 (一)无障碍服务权限申请 在正确设置安全密码后,恶意应用会启动系统设置页面申请辅助功能服务,通过社工伪装成安全服务来诱导受害者激活。随后会上传恶意软件被授予权限状态。 申请无障碍服务权限页面如下: 上传权限状态网络数据如下: 受害者开启无障碍功能服务后,显示应用程序激活,等待官方审核,页面如下: 二、人脸识别材料窃取 金相狐组织的核心是对金融软件的攻击,序中也提到泰国新政的发布,所以此仿冒软件的核心功能则是窃取受害者的人脸识别数据相关材料,继而通过AI相关技术,实现最终的攻击目标。 (一)窃取身份证件信息 仿冒软件会通过社工手段诱导受害用户上传自己的身份证件信息,而身份证件信息不仅可以用于金融账户和交易的使用环节,还可能用于提取受害者面部特征数据,所以我们姑且将窃取身份证件信息的行为归为面部特征数据窃取。 上传身份证件照片页面如下: 上传身份证件信息网络数据如下: 仿冒软件将受害者身份证件信息上传到云存储服务器后,会将正反面身份证件信息的云URL上传到主控服务器,方便管理和直接获取。 上传云URL到主控服务器的源码如下: 上传身份证件信息的云URL到主控服务器,网络数据如下: 应用本地存储的身份证件照片在外存储的应用数据目录中,测试示例如下: (二)窃取人脸识别数据 恶意软件的另一主要功能是窃取受害者用于人脸检测识别的面部数据,它们使用GoogleMLKit进行人脸检测。当发出“面部”命令时,将进行面部扫描,并记录并上传会话。录制面部视频时,会给出一些例如眨眼、微笑、向左、向右、向下、点头、向上和张嘴等指令,使用这种方法通常用于创建全面的面部生物特征档案。并将这些视频和照片上传到云存储。 面部识别检测页面如下: 上传面部识别视频到云存储的网络数据如下: 同窃取身份证件信息一样,窃取人脸识别视频后同样会将视频的云URL上传到主控服务器,不同的是,此版本的仿冒软件会先尝试将其视频直接上传到主控服务器。 上传人脸识别视频和云URL到主控服务器的源码如下: 上传视频的云URL到主控服务器,网络数据如下: 尝试直接将视频数据上传到主控服务器,网络数据如下: 同样,应用本地存储的人脸识别视频在外存储的应用数据目录中,测试示例如下: (三)窃取相册 用于人脸识别或AI人脸伪造的关键信息中,除了会采集人脸识别的视频外,还会窃取受害者的相册,或在其中获取更多的受害者面部特征数据。 上传相册到云存储的网络数据如下: 上传相册的云URL到主控服务器的网络数据如下: 上传相册的云URL到主控服务器的源码如下: 三、账户钓鱼 在仿冒软件中常常伴随这账户钓鱼,在此次攻击中,虽然并没有发现其获取泰国省电力局应用账户密码的目的,猜测其进行账户钓鱼不仅能够是仿冒应用更像官方应用,也可能在后续或其他的攻击中进行使用。 (一)登录 在恶意软件启动后,通常会进行设备信息上传和初始化信息检测等操作,然后进入伪装的登录页面。然而,经过测试发现,填入随意姓名和电话并不能成功登录,服务器响应值为“0”。这表明该服务器具有账号真实性验证功能,可能会通过填入的姓名和电话等信息来验证用户的真实身份,从而阻止非法访问,这种账号真实性验证机制表明攻击者对攻击目标具有一定的选择性,同时也对安全分析人员是一种防护。 登录页面如下: 登录网络数据如下: (二)设置安全密码 如果受害者使用真实账号进行登录,那么随后会进入安全密码设置页面,要求使用6位数字不要重复或连续。 密码设置页面如下: 密码设置网络数据如下: 密码复杂性校验源码如下: 四、其他信息窃取 仿冒软件窃取了大量的信息,除上面的重要信息外,在整个攻击链中,还有比较重要的信息,如下面所列出的两个恶意采集行为。 (一)受害者手机界面监控 受害者授权无障碍服务功能后,设备就被恶意软件监控了,会通过不断上传手机显示UI 截图的方式实施监控。 上传照片到云存储,网络数据如下: 上传照片的云URL到主控服务器,网络数据如下: (二)设备安装列表窃取 除上述功能外,恶意软件还会窃取设备已安装应用列表,同时也会将各应用程序图标上传到云存储,这也为后续的精准攻击目标金融软件做准备。 应用列表上传网络数据如下: 应用图标上传网络数据示例如下: 五、API接口功能 该伪装软件中含有大量的功能,每项功能都对应服务器的开发接口,但金相狐组织的该家族软件近期才开始活跃,仍然处于发展阶段,所以有部分非关键功能并未启用或未发现使用。其API接口功能表如下: API接口功能 /api/app/uploadvideo 上传视频到主控服务器 /api/app/uploadprogress 上传云服务器视频上传进度 /api/app/uploadidcard 上传身份证照片 /api/app/updatevideolog 未发现使用 /api/app/updatesmsstatus 未发现使用 /api/app/updatepwd 上传受害者输入的安全密码 /api/app/updatenewslog 未发现使用 /api/app/updatemessagelog 未发现使用 /api/app/updatelockstatus 未发现使用 /api/app/updatelocklog 未发现使用 /api/app/updatedoclog 未发现使用 /api/app/updatebanklogmm 上传受害者输入的银行密码日志 /api/app/updatebanklog 未发现使用 /api/app/updatePhoneStatus 未发现使用 /api/app/synclockbank 同步adid /api/app/savevideolog 未发现使用 /api/app/savevideo 上传视频的云URL到主控服务器 /api/app/savesms 上传受害者短信 /api/app/savesendsms 上传发送的短信 /api/app/savenewslog 未发现使用 /ap
