AI人臉識(shí)別詐騙敲響金融安全警鐘VIP

目 錄第一章 序 1第二章 攻擊圖 2第三章 仿冒件析 4一、 權(quán)限申請(qǐng) 4二、 人臉識(shí)別材料竊取 6三、 賬戶釣魚(yú) 13四、 其他信息竊取 16五、 API接口功能 20第四章 金融控件析 23一、 API接口功能 23二、 關(guān)鍵功能分析 23第五章 總結(jié) 29IOCS 30附錄1奇安信病毒響應(yīng)中心 30附錄2奇安信病毒響應(yīng)中心移動(dòng)安全團(tuán)隊(duì) 30第一章序2023350,000（1,430200,00050,000OP此次發(fā)現(xiàn)的攻擊活動(dòng)就是黑產(chǎn)團(tuán)伙針對(duì)這一政策定制的新的攻擊策略，攻擊組織將誘（PEA）GooglePlayStore500+"Godeognoyox組織。金相"狐接下來(lái)，讓我們深入探討"金相狐"組織的運(yùn)作方式和對(duì)用戶的威脅。第二章攻擊鏈圖Step1（PEA）Step2Step3Step4Step5Step6Step7StepAI第三章仿冒軟件分析盡管仿冒軟件在投遞和信息竊取過(guò)程中主要使用社工手段，并沒(méi)有使用漏洞攻擊等高這次攻擊活動(dòng)中，受害者的面部生物特征數(shù)據(jù)被上傳到云存儲(chǔ)，同時(shí)將相應(yīng)材料的云URL一、 權(quán)限申請(qǐng)29(一) 無(wú)障礙服務(wù)權(quán)限申請(qǐng)申請(qǐng)無(wú)障礙服務(wù)權(quán)限頁(yè)面如下：上傳權(quán)限狀態(tài)網(wǎng)絡(luò)數(shù)據(jù)如下：受害者開(kāi)啟無(wú)障礙功能服務(wù)后，顯示應(yīng)用程序激活，等待官方審核，頁(yè)面如下：二、 人臉識(shí)材料AI(一) 竊取身份證件信息仿冒軟件會(huì)通過(guò)社工手段誘導(dǎo)受害用戶上傳自己的身份證件信息，而身份證件信息不上傳身份證件照片頁(yè)面如下：上傳身份證件信息網(wǎng)絡(luò)數(shù)據(jù)如下：仿冒軟件將受害者身份證件信息上傳到云存儲(chǔ)服務(wù)器后，會(huì)將正反面身份證件信息的云URL上傳到主控服務(wù)器，方便管理和直接獲取。上傳云URL到主控服務(wù)器的源碼如下：上傳身份證件信息的云URL到主控服務(wù)器，網(wǎng)絡(luò)數(shù)據(jù)如下：應(yīng)用本地存儲(chǔ)的身份證件照片在外存儲(chǔ)的應(yīng)用數(shù)據(jù)目錄中，測(cè)試示例如下：(二) 竊取人臉識(shí)別數(shù)據(jù)惡意軟件的另一主要功能是竊取受害者用于人臉檢測(cè)識(shí)別的面部數(shù)據(jù)，它們使用GoogleML面部識(shí)別檢測(cè)頁(yè)面如下：上傳面部識(shí)別視頻到云存儲(chǔ)的網(wǎng)絡(luò)數(shù)據(jù)如下：同竊取身份證件信息一樣，竊取人臉識(shí)別視頻后同樣會(huì)將視頻的云URL上傳到主控服務(wù)器，不同的是，此版本的仿冒軟件會(huì)先嘗試將其視頻直接上傳到主控服務(wù)器。上傳人臉識(shí)別視頻和云URL到主控服務(wù)器的源碼如下：上傳視頻的云URL到主控服務(wù)器，網(wǎng)絡(luò)數(shù)據(jù)如下：嘗試直接將視頻數(shù)據(jù)上傳到主控服務(wù)器，網(wǎng)絡(luò)數(shù)據(jù)如下：同樣，應(yīng)用本地存儲(chǔ)的人臉識(shí)別視頻在外存儲(chǔ)的應(yīng)用數(shù)據(jù)目錄中，測(cè)試示例如下：(三) 竊取相冊(cè)用于人臉識(shí)別或AI人臉偽造的關(guān)鍵信息中，除了會(huì)采集人臉識(shí)別的視頻外，還會(huì)竊取受害者的相冊(cè)，或在其中獲取更多的受害者面部特征數(shù)據(jù)。上傳相冊(cè)到云存儲(chǔ)的網(wǎng)絡(luò)數(shù)據(jù)如下：上傳相冊(cè)的云URL到主控服務(wù)器的網(wǎng)絡(luò)數(shù)據(jù)如下：上傳相冊(cè)的云URL到主控服務(wù)器的源碼如下：三、 賬戶釣魚(yú)(一) 登錄登錄頁(yè)面如下：登錄網(wǎng)絡(luò)數(shù)據(jù)如下：(二) 設(shè)置安全密碼6位密碼設(shè)置頁(yè)面如下：密碼設(shè)置網(wǎng)絡(luò)數(shù)據(jù)如下：密碼復(fù)雜性校驗(yàn)源碼如下：四、 其他信竊取(一) 受害者手機(jī)界面監(jiān)控UI截圖的方式實(shí)施監(jiān)控。上傳照片到云存儲(chǔ)，網(wǎng)絡(luò)數(shù)據(jù)如下：上傳照片的云URL到主控服務(wù)器，網(wǎng)絡(luò)數(shù)據(jù)如下：(二) 設(shè)備安裝列表竊取應(yīng)用列表上傳網(wǎng)絡(luò)數(shù)據(jù)如下：應(yīng)用圖標(biāo)上傳網(wǎng)絡(luò)數(shù)據(jù)示例如下：五、 API接口功能APIAPI接口功能/api/app/uploadvideo上傳視頻到主控服務(wù)器/api/app/uploadprogress上傳云服務(wù)器視頻上傳進(jìn)度/api/app/uploadidcard上傳身份證照片/api/app/updatevideolog未發(fā)現(xiàn)使用/api/app/updatesmsstatus未發(fā)現(xiàn)使用/api/app/updatepwd上傳受害者輸入的安全密碼/api/app/updatenewslog未發(fā)現(xiàn)使用/api/app/updatemessagelog未發(fā)現(xiàn)使用/api/app/updatelockstatus未發(fā)現(xiàn)使用/api/app/updatelocklog未發(fā)現(xiàn)使用/api/app/updatedoclog未發(fā)現(xiàn)使用/api/app/updatebanklogmm上傳受害者輸入的銀行密碼日志/api/app/updatebanklog未發(fā)現(xiàn)使用/api/app/updatePhoneStatus未發(fā)現(xiàn)使用/api/app/synclockbank同步adid/api/app/savevideolog未發(fā)現(xiàn)使用/api/app/savevideo上傳視頻的云URL到主控服務(wù)器/api/app/savesms上傳受害者短信/api/app/savesendsms上傳發(fā)送的短信/api/app/savenewslog未發(fā)現(xiàn)使用/api/app/savemessagelog未發(fā)現(xiàn)使用/api/app/savemask上傳遮罩狀態(tài)/api/app/savelocklog未發(fā)現(xiàn)使用/api/app/saveinputlog上傳用戶輸入/api/app/savedoclog未發(fā)現(xiàn)使用/api/app/savedevice上傳設(shè)備信息/api/app/savecontact未發(fā)現(xiàn)使用/api/app/savebanklog未發(fā)現(xiàn)使用/api/app/saveauthlog未發(fā)現(xiàn)使用/api/app/saveapps上傳已安裝應(yīng)用列表/api/app/savealbum上傳圖片云URL到主控服務(wù)器/api/app/online監(jiān)控心跳狀態(tài)/api/app/login登錄/api/app/isonline活躍Ping/api/app/getsize30000ms間隔監(jiān)控在線狀態(tài)/api/app/getfrpconfig獲取frp配置/api/app/getbankconfig未發(fā)現(xiàn)使用/api/app/getaadfkfjoooosssss獲取云服務(wù)器配置/api/app/getBPackageUrl獲取B包信息/api/app/checkdestruction檢查是否要下載/api/app/changewifistatus上傳Wifi連接狀態(tài)/api/app/changesignalpinggoole/api/app/applynoauth上傳未申請(qǐng)到的權(quán)限/api/app/applyauth上傳已獲得權(quán)限第四章金融監(jiān)控軟件分析金融監(jiān)控軟件是一個(gè)無(wú)啟動(dòng)圖標(biāo)的應(yīng)用，通過(guò)偽裝軟件進(jìn)行開(kāi)啟，并將主控地址通過(guò)Intent傳遞。在基礎(chǔ)的配置功能上與偽裝軟件相同，采用服務(wù)器相應(yīng)的“b接口”或相同接口，因此不再對(duì)其進(jìn)行流程化分析，下面對(duì)其API接口功能和主要功能信息進(jìn)行分析。一、 API接口功能API接口功能/api/app/applyauthforb上傳已獲得權(quán)限/api/app/applynoauthforb上傳未申請(qǐng)到的權(quán)限/api/app/bonline上傳客戶端狀態(tài)/api/app/getbfrpconfig獲取frp配置/api/app/saveapps上傳已安裝應(yīng)用列表/api/app/savebanklog上傳目標(biāo)銀行操作狀態(tài)/api/app/savedeviceb上傳設(shè)備信息/api/app/savesms上傳短信信息/api/app/updatebanklogmm上傳受害者輸入的銀行密碼/api/app/updatesmsstatus未發(fā)現(xiàn)使用二、 關(guān)鍵功分析(一) 權(quán)限界面開(kāi)啟金融監(jiān)控軟件無(wú)啟動(dòng)圖標(biāo)，在仿冒軟件中通過(guò)意圖開(kāi)啟，并通過(guò)不同的auth值來(lái)控制1234(二) 遠(yuǎn)程控制/(三) 金融軟件操控loadhtml目標(biāo)金融軟件如下表所示：名稱(chēng)包名CIMBTHAIcom.cimbthai.digital.mycimbMyMobyGSBcom.mobilife.gsb.mymoKMAcom.krungsri.kmaBangkokBankMobileBankingcom.bbl.mobilebankingBAACMobilecom.baac.amobileplusttbtouchcom.TMBTOUCH.PRODUCTIONKrungthaiNEXTbankSCBEASYcom.scb.phoneKPLUScom.kasikorn.retail.mbanking.wap第五章總結(jié)本報(bào)告對(duì)移動(dòng)端通過(guò)竊取人臉識(shí)別材料進(jìn)行金融詐騙攻擊活動(dòng)進(jìn)行了深入分析。通過(guò)此次攻擊活動(dòng)對(duì)金融行業(yè)安全具有里程碑式的警示意義