iOS木马“GoldPickaxe”窃取面部识别数据

请注意，一种名为GoldPickaxe的iOS木马已经出现，它能够窃取银行数据、身份证件，甚至来自受感染设备的面部数据。这是第一个被发现窃取受害者面部数据的iOS木马实例。

Group-IB发现了一种iOS木马，名为GoldPickaxe，旨在窃取面部识别数据、身份证件和拦截短信。该公司的威胁情报部门将整个威胁集群归因于一个名为GoldFactory的威胁行为者。

GoldPickaxe家族自2023年年中以来一直活跃，针对亚太地区，特别是泰国和越南，攻击方式涉及冒充当地银行和政府组织。

根据Group-IB的说法，威胁行为者利用人工智能驱动的换脸服务来利用被盗的生物识别数据来创建深度伪造品，从而允许未经授权访问受害者的银行账户，这是一种新的货币盗窃技术。

在此活动中，GoldFactory成功使用移动设备管理(MDM)来操纵Apple设备，并通过滥用TestFlight传播其iOS木马。受害者收到看似无辜的URL（例如testflight.apple.com/join/），从而导致安装恶意软件。

另一种复杂的方法是诱骗受害者与欺诈网站交互以安装MDM配置文件，从而使网络犯罪分子能够完全控制受害者的设备。

泰国银行业计算机紧急响应小组(TB-CERT)还报告称 ，网络犯罪分子正在通过通讯工具分发恶意链接，引诱受害者使用冒充“数字养老金”应用程序的欺诈性应用程序。该应用程序的可信度值得怀疑，因为Group-IB的调查证实了GoldPickaxe的多个版本冒充泰国官方服务，包括泰国的数字养老金应用程序。

研究人员认为，由于在网络钓鱼活动中发现了一条用泰语编写的短信，该组织可能正在聘请精通泰语和越南语的操作员，或者可能运营着一个呼叫中心。在泰国，网络犯罪分子冒充政府当局并说服受害者使用流行的消息应用程序LINE。

根据Group-IB的博客文章，据报道，该团伙结合使用网络钓鱼和网络钓鱼技术，在越南和泰国开展恶意活动。尽管有证据表明这是一个讲中文的组织，但在检查向受害者拨打的电话时，不能排除当地网络犯罪分子的参与/作用。

值得注意的是，Group-IB此前发现了一款​​代号为GoldDigger的Android木马，自2023年6月以来，该木马窃取面部数据，针对超过50个越南银行应用程序、电子钱包和加密货币钱包。

新发现的GoldPickaxe系列基于GoldDigger Android木马。然而，研究人员声称GoldPickaxe iOS变种的感染链与GoldFactory家族中的其他木马没有显着差异。

GoldPickaxe恶意软件是使用与GoldDigger 相同的通信机制和云存储桶URL开发的，但由于iOS的封闭性和更严格的权限，与其Android兄弟相比，其功能较少。

这两个版本都使用虚假的登录页面来访问虚假的数字养老金应用程序，从而可能避免检测。另一种变体GoldDiggerPlus也被认为具有扩展的GoldDigger功能，允许通过专门设计的名为GoldKefu的APK进行实时通话。所有已识别的木马目前都处于活跃的进化阶段。

“总的来说，我们确定了网络犯罪分子使用的四个木马家族。我们保持了命名约定，对新发现的恶意软件使用前缀Gold 作为它们是由同一威胁行为者开发的象征性表示，”Group-IB研究人员指出。

研究人员无法识别GoldFactory使用的工具集，这表明这是一个组织严密、技术先进的团队。

供您参考，2023年3月，泰国银行强制要求对超过50000泰铢和每天200000泰铢的交易进行面部生物识别验证，并提高了移动设备上的信用转账限额。根据Group-IB的研究，GoldPickaxe很可能于2024年2月到达越南，当时一名越南公民进行了面部识别扫描，提取了超过40000美元。

越南国家银行计划从2024年4月起强制要求将面部验证作为所有汇款的安全措施，这表明GoldPickaxe在该国可能被利用。GoldPickaxe在越南的使用预计将增加 IB 组的评估。

“GoldFactory是一个足智多谋的团队，有很多伎俩：冒充、可访问性键盘记录、虚假银行网站、虚假银行警报、虚假呼叫屏幕、身份和面部识别数据收集。配备了多种工具，他们可以灵活地选择和执行最适合场景的工具，”研究人员指出。

该报告强调了日益增长的网络安全威胁和网络犯罪分子使用的复杂技术。他们改进了GoldDigger恶意软件，引入了面部识别数据收集的新类别，并开发了一种用于受害者和网络犯罪分子之间通信的工具。Group-IB研究人员强调需要采取主动、多方面的网络安全措施，包括用户教育。