《奇安信：金相狐黑产团伙：AI人脸识别诈骗敲响金融安全警钟（2024）（34页）.pdf》由会员分享，可在线阅读，更多相关《奇安信：金相狐黑产团伙：AI人脸识别诈骗敲响金融安全警钟（2024）（34页）.pdf（34页珍藏版）》请在三个皮匠报告上搜索。

1、 金相狐黑产团伙：AI 人脸识别诈骗敲响金融安全警钟 2024 年 03 月 25 日 摘 要 人脸识别技术作为身份验证的主要手段，被广泛应用于账户风控、金融交易等场景。金相狐组织制作投递伪装成泰国省电力局（PEA）应用的仿冒软件。仿冒软件获得授权后，开始窃取面部特征数据和其他信息。为了更好的实施金融诈骗，仿冒软件会下载并诱导受害者安装金融监控软件。金融监控软件执行主控服务器下发的远程指令，监控受害用户金融软件使用情况，进行钓鱼攻击和运行锁定。最后，金相狐组织通过受害者设备信息和大量的面部特征数据，通过 AI 换脸或合成等技术即有可能实现异地登录受害用户金融账户，实施转移财产等操作。此次攻击活

2、动对金融行业安全具有里程碑式的警示意义。关键词：关键词：金相狐组织、人脸识别、面部生物特征数据、泰国省电力局（PEA）、身份证件信息、无障碍服务 2 目 录 第一章 序.1 第二章 攻击链图.2 第三章 仿冒软件分析.4 一、权限申请.4 二、人脸识别材料窃取.6 三、账户钓鱼.13 四、其他信息窃取.16 五、API 接口功能.20 第四章 金融监控软件分析.23 一、API 接口功能.23 二、关键功能分析.23 第五章 总结.29 IOCS.30 附录 1 奇安信病毒响应中心.30 附录 2 奇安信病毒响应中心移动安全团队.30 1 第一章 序 在当今数字化社会，人脸识别技术与金融领域的

3、密切结合，为我们的生活带来了巨大便利，然而，新的机遇往往带来新的挑战。人脸识别技术作为身份验证的主要手段，被广泛应用于账户风控、金融交易等场景。在 2023 年 3 月，泰国央行发布指示，要求银行在进行以下交易时采用面部生物特征验证来确认身份：单笔交易金额达到 50,000 泰铢（约合 1,430 美元）或以上；每日转账超过200,000 泰铢；或者将移动设备上的信用转账限额提高到每次交易 50,000 泰铢以上。这一指示意味着银行在这些情况下不再使用一次性密码（OTP），而是采用面部生物特征验证来加强身份确认的安全性。此次发现的攻击活动就是黑产团伙针对这一政策定制的新的攻击策略，攻击组织将诱

4、饵恶意软件伪装成泰国省电力局（PEA）应用进行投递，至于为何选此软件，通过查询可知泰国省电力局（PEA）应用在 Google Play Store 的下载量就达 500 万+次，而电网交易又是用户生活必须事项。此前版本也常常伪装成泰国政府、金融部门和公共事业公司的相关应用程序，由此可见，这是他们惯用的伪装手段。不同的是攻击者在诱导受害用户安装此类仿冒软件后，还会在使用过程中诱导受害用户安装一个宣称为客服软件的金融监控软件，继而实施更加深入的诈骗活动。经过深入分析后，我们将这个幕后组织命名为金相狐（GoldenPhysiognomyFox）组织。这个名字不仅仅是一个标签，而是一个对该组织行为和特

5、点的生动描述：金代表了他们攫取金钱的目的，相则暗示了他们利用人脸识别技术的手段，而狐则象征了他们狡猾和欺骗的本质。这个名字既突出了他们的行为特点，又让我们更深入地了解到这个组织的本质。接下来，让我们深入探讨金相狐组织的运作方式和对用户的威胁。2 第二章 攻击链图 此次攻击活动具有一定的复杂度，从目前我们掌握的情报数据进行分析，整个攻击过程可简要描述如下：Step 1：金相狐组织制作投递伪装成泰国省电力局（PEA）应用的仿冒软件。Step 2：受害用户安装仿冒软件后，被诱导授予仿冒软件相关权限。Step 3：仿冒软件获得授权后，开始窃取面部特征数据和其他信息。Step 4：仿冒软件将窃取的受害者

6、信息上传到云服务器和主控服务器。Step 5：同时，仿冒软件还会诱导用户安装金融监控软件，并使用意图开启此软件。Step 6：金融监控软件也会窃取诸如应用安装列表、设备信息和短信等信息到主控服务器。Step 7：同时，金融监控软件会接收主控服务器下发的远控指令，在用户使用金融软件时，进行用户金融软件账户密码窃取和锁定金融软件，禁止用户使用的行为，并将相关操作日志上传到主控服务器。Step 8：最后，金相狐组织通过受害者设备信息和大量的面部特征数据，通过 AI 换脸或合成等技术即有可能实现异地登录受害用户金融账户，实施转移财产等操作。3 4 第三章 仿冒软件分析 在高级威胁攻击中，常见的手法是将