您的当前位置:首页 > 报告分类 > PDF报告下载

奇安信:金相狐黑产团伙:AI人脸识别诈骗敲响金融安全警钟(2024)(34页).pdf

编号:157842 PDF  DOCX 34页 2.61MB 下载积分:VIP专享
下载报告请您先登录!

奇安信:金相狐黑产团伙:AI人脸识别诈骗敲响金融安全警钟(2024)(34页).pdf

1、 金相狐黑产团伙:AI 人脸识别诈骗敲响金融安全警钟 2024 年 03 月 25 日 摘 要 人脸识别技术作为身份验证的主要手段,被广泛应用于账户风控、金融交易等场景。金相狐组织制作投递伪装成泰国省电力局(PEA)应用的仿冒软件。仿冒软件获得授权后,开始窃取面部特征数据和其他信息。为了更好的实施金融诈骗,仿冒软件会下载并诱导受害者安装金融监控软件。金融监控软件执行主控服务器下发的远程指令,监控受害用户金融软件使用情况,进行钓鱼攻击和运行锁定。最后,金相狐组织通过受害者设备信息和大量的面部特征数据,通过 AI 换脸或合成等技术即有可能实现异地登录受害用户金融账户,实施转移财产等操作。此次攻击活

2、动对金融行业安全具有里程碑式的警示意义。关键词:关键词:金相狐组织、人脸识别、面部生物特征数据、泰国省电力局(PEA)、身份证件信息、无障碍服务 2 目 录 第一章 序.1 第二章 攻击链图.2 第三章 仿冒软件分析.4 一、权限申请.4 二、人脸识别材料窃取.6 三、账户钓鱼.13 四、其他信息窃取.16 五、API 接口功能.20 第四章 金融监控软件分析.23 一、API 接口功能.23 二、关键功能分析.23 第五章 总结.29 IOCS.30 附录 1 奇安信病毒响应中心.30 附录 2 奇安信病毒响应中心移动安全团队.30 1 第一章 序 在当今数字化社会,人脸识别技术与金融领域的

3、密切结合,为我们的生活带来了巨大便利,然而,新的机遇往往带来新的挑战。人脸识别技术作为身份验证的主要手段,被广泛应用于账户风控、金融交易等场景。在 2023 年 3 月,泰国央行发布指示,要求银行在进行以下交易时采用面部生物特征验证来确认身份:单笔交易金额达到 50,000 泰铢(约合 1,430 美元)或以上;每日转账超过200,000 泰铢;或者将移动设备上的信用转账限额提高到每次交易 50,000 泰铢以上。这一指示意味着银行在这些情况下不再使用一次性密码(OTP),而是采用面部生物特征验证来加强身份确认的安全性。此次发现的攻击活动就是黑产团伙针对这一政策定制的新的攻击策略,攻击组织将诱

4、饵恶意软件伪装成泰国省电力局(PEA)应用进行投递,至于为何选此软件,通过查询可知泰国省电力局(PEA)应用在 Google Play Store 的下载量就达 500 万+次,而电网交易又是用户生活必须事项。此前版本也常常伪装成泰国政府、金融部门和公共事业公司的相关应用程序,由此可见,这是他们惯用的伪装手段。不同的是攻击者在诱导受害用户安装此类仿冒软件后,还会在使用过程中诱导受害用户安装一个宣称为客服软件的金融监控软件,继而实施更加深入的诈骗活动。经过深入分析后,我们将这个幕后组织命名为金相狐(GoldenPhysiognomyFox)组织。这个名字不仅仅是一个标签,而是一个对该组织行为和特

5、点的生动描述:金代表了他们攫取金钱的目的,相则暗示了他们利用人脸识别技术的手段,而狐则象征了他们狡猾和欺骗的本质。这个名字既突出了他们的行为特点,又让我们更深入地了解到这个组织的本质。接下来,让我们深入探讨金相狐组织的运作方式和对用户的威胁。2 第二章 攻击链图 此次攻击活动具有一定的复杂度,从目前我们掌握的情报数据进行分析,整个攻击过程可简要描述如下:Step 1:金相狐组织制作投递伪装成泰国省电力局(PEA)应用的仿冒软件。Step 2:受害用户安装仿冒软件后,被诱导授予仿冒软件相关权限。Step 3:仿冒软件获得授权后,开始窃取面部特征数据和其他信息。Step 4:仿冒软件将窃取的受害者

6、信息上传到云服务器和主控服务器。Step 5:同时,仿冒软件还会诱导用户安装金融监控软件,并使用意图开启此软件。Step 6:金融监控软件也会窃取诸如应用安装列表、设备信息和短信等信息到主控服务器。Step 7:同时,金融监控软件会接收主控服务器下发的远控指令,在用户使用金融软件时,进行用户金融软件账户密码窃取和锁定金融软件,禁止用户使用的行为,并将相关操作日志上传到主控服务器。Step 8:最后,金相狐组织通过受害者设备信息和大量的面部特征数据,通过 AI 换脸或合成等技术即有可能实现异地登录受害用户金融账户,实施转移财产等操作。3 4 第三章 仿冒软件分析 在高级威胁攻击中,常见的手法是将

7、诱饵软件伪装成目标人群所需或使用量大的软件,例如政府软件和生活缴费软件。对此仿冒软件进行分析时,我们发现它不仅利用社会工程学手段诱导受害者,还在服务器端对受害者的真实性进行校验,可能通过目标用户电话匹配或官方软件泄露信息验证等手段,在提高目标精准度的同时还会给安全分析人员增加分析成本。尽管仿冒软件在投递和信息窃取过程中主要使用社工手段,并没有使用漏洞攻击等高破坏性技术手段,看似并不具备什么高级技术能力。然而,在样本分析中,我们发现攻击者采用了多种技术手段进行自我保护和安全分析对抗,例如应用加固、运行环境检测、清单文件混淆和源码字符串加密等。这次攻击活动中,受害者的面部生物特征数据被上传到云存储

8、,同时将相应材料的云URL 上传到主控服务器,而此次攻击中还会尝试将面部生物特征数据直接上传到主控服务器。在没有目标账户或真实账户等测试条件下,我们依托自身技术能力对伪装软件的窃取受害者信息的运行过程和主要功能进行了多维度的分析。一、权限申请 随着移动系统对于用户保护的安全升级,应用程序在获取用户信息的时候,大多需要明确申请权限,获得用户授权后才能使用相应功能。而常见的恶意软件往往会申请大量的应用权限,此次攻击使用的仿冒软件申请权限多达 29 项,这些权限包含无障碍服务、相机、短信等高危权限。在众多权限中,有一个比较特殊的权限无障碍服务权限。无障碍服务是一套可以模拟操作的系统级别的 API,用

9、户同意之后就可以模拟操作,来控制用户的手机。恶意软件常常通过诱导的方式来获得此权限,下面就该仿冒软件申请此权限做简要说明。(一)无障碍服务权限申请 在正确设置安全密码后,恶意应用会启动系统设置页面申请辅助功能服务,通过社工伪装成安全服务来诱导受害者激活。随后会上传恶意软件被授予权限状态。5 申请无障碍服务权限页面如下:上传权限状态网络数据如下:6 受害者开启无障碍功能服务后,显示应用程序激活,等待官方审核,页面如下:二、人脸识别材料窃取 金相狐组织的核心是对金融软件的攻击,序中也提到泰国新政的发布,所以此仿冒软件的核心功能则是窃取受害者的人脸识别数据相关材料,继而通过 AI 相关技术,实现最终

10、的攻击目标。(一)窃取身份证件信息 仿冒软件会通过社工手段诱导受害用户上传自己的身份证件信息,而身份证件信息不仅可以用于金融账户和交易的使用环节,还可能用于提取受害者面部特征数据,所以我们姑且将窃取身份证件信息的行为归为面部特征数据窃取。上传身份证件照片页面如下:7 上传身份证件信息网络数据如下:8 仿冒软件将受害者身份证件信息上传到云存储服务器后,会将正反面身份证件信息的云 URL 上传到主控服务器,方便管理和直接获取。上传云 URL 到主控服务器的源码如下:上传身份证件信息的云 URL 到主控服务器,网络数据如下:9 应用本地存储的身份证件照片在外存储的应用数据目录中,测试示例如下:(二)

11、窃取人脸识别数据 恶意软件的另一主要功能是窃取受害者用于人脸检测识别的面部数据,它们使用Google ML Kit 进行人脸检测。当发出“面部”命令时,将进行面部扫描,并记录并上传会话。录制面部视频时,会给出一些例如眨眼、微笑、向左、向右、向下、点头、向上和张嘴等指令,使用这种方法通常用于创建全面的面部生物特征档案。并将这些视频和照片上传到云存储。面部识别检测页面如下:10 上传面部识别视频到云存储的网络数据如下:同窃取身份证件信息一样,窃取人脸识别视频后同样会将视频的云 URL 上传到主控服务器,不同的是,此版本的仿冒软件会先尝试将其视频直接上传到主控服务器。上传人脸识别视频和云 URL 到

12、主控服务器的源码如下:11 上传视频的云 URL 到主控服务器,网络数据如下:尝试直接将视频数据上传到主控服务器,网络数据如下:12 同样,应用本地存储的人脸识别视频在外存储的应用数据目录中,测试示例如下:13 (三)窃取相册 用于人脸识别或 AI 人脸伪造的关键信息中,除了会采集人脸识别的视频外,还会窃取受害者的相册,或在其中获取更多的受害者面部特征数据。上传相册到云存储的网络数据如下:上传相册的云 URL 到主控服务器的网络数据如下:上传相册的云 URL 到主控服务器的源码如下:三、账户钓鱼 14 在仿冒软件中常常伴随这账户钓鱼,在此次攻击中,虽然并没有发现其获取泰国省电力局应用账户密码的

13、目的,猜测其进行账户钓鱼不仅能够是仿冒应用更像官方应用,也可能在后续或其他的攻击中进行使用。(一)登录 在恶意软件启动后,通常会进行设备信息上传和初始化信息检测等操作,然后进入伪装的登录页面。然而,经过测试发现,填入随意姓名和电话并不能成功登录,服务器响应值为“0”。这表明该服务器具有账号真实性验证功能,可能会通过填入的姓名和电话等信息来验证用户的真实身份,从而阻止非法访问,这种账号真实性验证机制表明攻击者对攻击目标具有一定的选择性,同时也对安全分析人员是一种防护。登录页面如下:15 登录网络数据如下:(二)设置安全密码 如果受害者使用真实账号进行登录,那么随后会进入安全密码设置页面,要求使用

14、 6 位数字不要重复或连续。密码设置页面如下:密码设置网络数据如下:16 密码复杂性校验源码如下:四、其他信息窃取 仿冒软件窃取了大量的信息,除上面的重要信息外,在整个攻击链中,还有比较重要的信息,如下面所列出的两个恶意采集行为。(一)受害者手机界面监控 受害者授权无障碍服务功能后,设备就被恶意软件监控了,会通过不断上传手机显示 UI 17 截图的方式实施监控。上传照片到云存储,网络数据如下:上传照片的云 URL 到主控服务器,网络数据如下:18 (二)设备安装列表窃取 除上述功能外,恶意软件还会窃取设备已安装应用列表,同时也会将各应用程序图标上传到云存储,这也为后续的精准攻击目标金融软件做准

15、备。应用列表上传网络数据如下:19 应用图标上传网络数据示例如下:20 五、API 接口功能 该伪装软件中含有大量的功能,每项功能都对应服务器的开发接口,但金相狐组织的该家族软件近期才开始活跃,仍然处于发展阶段,所以有部分非关键功能并未启用或未发现使用。其 API 接口功能表如下:API 接口接口 功能功能/api/app/uploadvideo 上传视频到主控服务器/api/app/uploadprogress 上传云服务器视频上传进度/api/app/uploadidcard 上传身份证照片/api/app/updatevideolog 未发现使用/api/app/updatesmssta

16、tus 未发现使用/api/app/updatepwd 上传受害者输入的安全密码/api/app/updatenewslog 未发现使用/api/app/updatemessagelog 未发现使用/api/app/updatelockstatus 未发现使用/api/app/updatelocklog 未发现使用/api/app/updatedoclog 未发现使用/api/app/updatebanklogmm 上传受害者输入的银行密码日志/api/app/updatebanklog 未发现使用/api/app/updatePhoneStatus 未发现使用/api/app/syncloc

17、kbank 同步 adid/api/app/savevideolog 未发现使用 21 /api/app/savevideo 上传视频的云 URL 到主控服务器/api/app/savesms 上传受害者短信/api/app/savesendsms 上传发送的短信/api/app/savenewslog 未发现使用/api/app/savemessagelog 未发现使用/api/app/savemask 上传遮罩状态/api/app/savelocklog 未发现使用/api/app/saveinputlog 上传用户输入/api/app/savedoclog 未发现使用/api/app/s

18、avedevice 上传设备信息/api/app/savecontact 未发现使用/api/app/savebanklog 未发现使用/api/app/saveauthlog 未发现使用/api/app/saveapps 上传已安装应用列表/api/app/savealbum 上传图片云 URL 到主控服务器/api/app/online 监控心跳状态/api/app/login 登录/api/app/isonline 活跃 Ping/api/app/getsize 30000ms 间隔监控在线状态/api/app/getfrpconfig 获取 frp 配置/api/app/getbank

19、config 未发现使用 22 /api/app/getaadfkfjoooosssss 获取云服务器配置/api/app/getBPackageUrl 获取 B 包信息/api/app/checkdestruction 检查是否要下载/api/app/changewifistatus 上传 Wifi 连接状态/api/app/changesignal 上传 ping goole 站点的速度/api/app/applynoauth 上传未申请到的权限/api/app/applyauth 上传已获得权限 23 第四章 金融监控软件分析 为了更好的实施金融诈骗,仿冒软件会下载并诱导受害者安装名为“

20、b.apk”的文件包,此包是一个伪装的客服软件,软件内部会监控目标金融软件,并定制每个金融软件的钓鱼和锁定界面,我们称其为金融监控软件。金融监控软件是一个无启动图标的应用,通过伪装软件进行开启,并将主控地址通过Intent 传递。在基础的配置功能上与伪装软件相同,采用服务器相应的“b 接口”或相同接口,因此不再对其进行流程化分析,下面对其 API 接口功能和主要功能信息进行分析。一、API 接口功能 API 接口接口 功能功能/api/app/applyauthforb 上传已获得权限/api/app/applynoauthforb 上传未申请到的权限/api/app/bonline 上传客户

21、端状态/api/app/getbfrpconfig 获取 frp 配置/api/app/saveapps 上传已安装应用列表/api/app/savebanklog 上传目标银行操作状态/api/app/savedeviceb 上传设备信息/api/app/savesms 上传短信信息/api/app/updatebanklogmm 上传受害者输入的银行密码/api/app/updatesmsstatus 未发现使用 二、关键功能分析(一)权限界面开启 金融监控软件无启动图标,在仿冒软件中通过意图开启,并通过不同的 auth 值来控制 24 金融监控软件申请权限,“1”是申请短信权限;“2”是

22、申请通知权限;“3”是使用情况查看权限;“4”是申请悬浮窗权限。仿冒软件开启金融监控软件源码如下:金融监控软件权限申请控制源码如下:25 (二)远程控制 在对受害者诈骗的过程中,恶意软件可以实时远程控制目标设备,主要针对目标银行进行操作,如设置弹窗、锁定/解除锁定和设置代理等。远程控制源码如下:26 27 (三)金融软件操控 在远控功能中,具有一系列试图控制用户金融应用使用的命令,其中就包含下发弹窗和锁定目标银行的功能,而锁定的方式则是通过load应用包中定制开发的各个金融应用的html伪装页面,并以此获得受害者的金融账户密码。伪装金融应用的弹窗页面和锁定页面如下:弹窗和锁定页面,在监控的金融

23、软件开启时触发,如果在远程控制相应目标中,则执行相应操作。执行操作的源码如下:28 目标金融软件如下表所示:名称名称 包名包名 CIMB THAI com.cimbthai.digital.mycimb MyMo by GSB com.mobilife.gsb.mymo KMA com.krungsri.kma Bangkok Bank Mobile Banking com.bbl.mobilebanking BAAC Mobile com.baac.amobileplus ttb touch com.TMBTOUCH.PRODUCTION Krungthai NEXT bank SCB EA

24、SY com.scb.phone K PLUS com.kasikorn.retail.mbanking.wap 29 第五章 总结 本报告对移动端通过窃取人脸识别材料进行金融诈骗攻击活动进行了深入分析。通过对攻击活动的调查和研究,我们发现攻击者伪装成合法机构的应用程序,诱使用户下载并使用,进而窃取用户的面部生物特征数据及个人金融信息。攻击活动主要通过两个渠道展开:一是伪装成政府或金融机构的应用,以获取用户的信任并获取面部生物特征数据;二是利用定制化的金融监控软件诱导用户安装,以监控用户的金融软件状态并获取敏感信息和实时控制。此次攻击活动对金融行业安全具有里程碑式的警示意义。传统的攻击手法常常

25、直面金融安全防火墙,如仿冒金融软件钓鱼、通过辅助功能监控金融软件运行等,但是在愈演愈烈的攻防对抗中,传统攻击手段已很难达到其目的。随着 AI 技术的发展及其在金融领域的实践,类似金相狐组织采用迂回战术,借助 AI 技术从不接触金融软件的通道实施攻击也变成了现实,配上强力的分析对抗手段,金融行业应用已经很难从自身安全系统中感知到此类攻击行为,为此,寻求有大数据和技术能力的安全厂商联合布防变得尤为重要。针对特定人群如何避免遭受移动端上的攻击,奇安信病毒响应中心移动安全团队提供以下防护建议:(1)及时更新系统和应用,在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载,国外用户可以在 G

26、oogle Play 下载。不要安装不可信来源的应用、不要随便点击不明 URL 或者扫描安全性未知的二维码。(2)移动设备及时在可信网络环境下进行安全更新,不要轻易使用不可信的网络环境。(3)不轻易开启 Root 权限;对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎,一般来说普通应用不会请求这些权限,特别是设备管理器,正常的应用基本没有这个需求。(4)确保安装有手机安全软件,进行实时保护个人财产安全;如安装奇安信移动安全产品。目前,基于奇安信自研的猫头鹰引擎、QADE 引擎和威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、奇安信天狗漏洞攻击防护系统、天擎、天机、天守、天眼高

27、级威胁检测系统、奇安信 NGSOC(态势感知与安全运营平台)、奇安信监管类态势感知等,都已经支持对此类攻击的精确检测。30 IOCs MD5 14db1422fded1a44fb39359248ce80d8 ad1ea800458f4ebf25de0494d4136b4c C2 android.ncxk5.xyz 附录 1 奇安信病毒响应中心 奇安信病毒响应中心奇安信病毒响应中心是北京奇安信科技有限公司(奇安信集团)旗下的病毒鉴定及响应专业团队,背靠奇安信核心云平台,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验,基于集团自主研发的 QOW

28、L和 QDE(人工智能)引擎,形成跨平台木马病毒、漏洞的查杀与修复能力,并且具有强大的大数据分析以及实现全平台安全和防护预警能力。奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测,积极响应客户侧的安全反馈问题,可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒事件、参与重大活动安全保障工作,受到客户的高度认可,提升了奇安信在业内的品牌影响力。附录 2 奇安信病毒响应中心移动安全团队 奇安信病毒响应中心移动安全团队奇安信病毒响应中心移动安全团队一直致力移动安全领域及 Android 安全生态的研究。目前,奇安信的移动安全产品除了可以查杀常见的移动端病毒木马,也可以精准查杀时下流 31 行

29、的刷量、诈骗、博彩、违规、色情等黑产类软件。通过其内部分析系统可以有效支持对溯源分析等追踪。团队结合自研 QADE 引擎和高价值移动端攻击发现流程已捕获到多起移动攻击事件,并发布了多篇移动黑产报告,对外披露了多个 APT 组织活动。近三年来已首发披露五个全新 APT 组织(诺崇狮组织 SilencerLion、利刃鹰组织 BladeHawk、艾叶豹组织SnowLeopard、金刚象组织 VajraEleph 和沙猁猫组织 Caracal Kitten)。未来我们还会持续走在全球移动安全研究的前沿,第一时间追踪分析最新的移动安全事件、对国内移动相关的黑灰产攻击进行深入挖掘和跟踪,为维护移动端上的网络安全砥砺前行。

友情提示

1、下载报告失败解决办法
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。

本文(奇安信:金相狐黑产团伙:AI人脸识别诈骗敲响金融安全警钟(2024)(34页).pdf)为本站 (海绵宝宝) 主动上传,三个皮匠报告文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知三个皮匠报告文库(点击联系客服),我们立即给予删除!

温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。
相关报告
会员购买
小程序

小程序

客服

专属顾问

商务合作

机构入驻、侵权投诉、商务合作

服务号

三个皮匠报告官方公众号

回到顶部