金相狐黑产团伙：AI人脸识别诈骗敲响金融安全警钟 2024年03月25日 摘 要  人脸识别技术作为身份验证的主要手段，被广泛应用于账户风控、金融交易等场景。  金相狐组织制作投递伪装成泰国省电力局（PEA）应用的仿冒软件。  仿冒软件获得授权后，开始窃取面部特征数据和其他信息。  为了更好的实施金融诈骗，仿冒软件会下载并诱导受害者安装金融监控软件。  金融监控软件执行主控服务器下发的远程指令，监控受害用户金融软件使用情况，进行钓鱼攻击和运行锁定。  最后，金相狐组织通过受害者设备信息和大量的面部特征数据，通过AI换脸或合成等技术即有可能实现异地登录受害用户金融账户，实施转移财产等操作。  此次攻击活动对金融行业安全具有里程碑式的警示意义。 关键词： 金相狐组织、人脸识别、面部生物特征数据、泰国省电力局（PEA）、身份证件信息、无障碍服务 2 目 录 第一章 序 .........................................................................................................................................1 第二章 攻击链图 ............................................................................................................................2 第三章 仿冒软件分析 ....................................................................................................................4 一、 权限申请 ................................................................................................................................. 4 二、 人脸识别材料窃取 ................................................................................................................. 6 三、 账户钓鱼 ............................................................................................................................... 13 四、 其他信息窃取 ....................................................................................................................... 16 五、 API接口功能 ........................................................................................................................ 20 第四章 金融监控软件分析 ......................................................................................................... 23 一、 API接口功能 ........................................................................................................................ 23 二、 关键功能分析 ....................................................................................................................... 23 第五章 总结 .................................................................................................................................. 29 IOCS .................................................................................................................................................... 30 附录1 奇安信病毒响应中心 ........................................................................................................... 30 附录2 奇安信病毒响应中心移动安全团队 .................................................................................... 30 1 第一章 序 在当今数字化社会，人脸识别技术与金融领域的密切结合，为我们的生活带来了巨大便利，然而，新的机遇往往带来新的挑战。人脸识别技术作为身份验证的主要手段，被广泛应用于账户风控、金融交易等场景。 在2023年3月，泰国央行发布指示，要求银行在进行以下交易时采用面部生物特征验证来确认身份：单笔交易金额达到50,000泰铢（约合1,430美元）或以上；每日转账超过200,000泰铢；或者将移动设备上的信用转账限额提高到每次交易50,000泰铢以上。这一指示意味着银行在这些情况下不再使用一次性密码（OTP），而是采用面部生物特征验证来加强身份确认的安全性。 此次发现的攻击活动就是黑产团伙针对这一政策定制的新的攻击策略，攻击组织将诱饵恶意软件伪装成泰国省电力局（PEA）应用进行投递，至于为何选此软件，通过查询可知泰国省电力局（PEA）应用在Google Play Store的下载量就达500万+次，而电网交易又是用户生活必须事项。此前版本也常常伪装成泰国政府、金融部门和公共事业公司的相关应用程序，由此可见，这是他们惯用的伪装手段。不同的是攻击者在诱导受害用户安装此类仿冒软件后，还会在使用过程中诱导受害用户安装一个宣称为客服软件的金融监控软件，继而实施更加深入的诈骗活动。 经过深入分析后，我们将这个幕后组织命名为"金相狐"（GoldenPhysiognomyFox）组织。这个名字不仅仅是一个标签，而是一个对该组织行为和特点的生动描述："金"代表了他们攫取金钱的目的，"相"则暗示了他们利用人脸识别技术的手段，而"狐"则象征了他们狡猾和欺骗的本质。这个名字既突出了他们的行为特点，又让我们更深入地了解到这个组织的本质。 接下来，让我们深入探讨"金相狐"组织的运作方式和对用户的威胁。 2 第二章 攻击链图 此次攻击活动具有一定的复杂度，从目前我们掌握的情报数据进行分析，整个攻击过程可简要描述如下：  Step 1：金相狐组织制作投递伪装成泰国省电力局（PEA）应用的仿冒软件。  Step 2：受害用户安装仿冒软件后，被诱导授予仿冒软件相关权限。  Step 3：仿冒软件获得授权后，开始窃取面部特征数据和其他信息。  Step 4：仿冒软件将窃取的受害者信息上传到云服务器和主控服务器。  Step 5：同时，仿冒软件还会诱导用户安装金融监控软件，并使用意图开启此软件。  Step 6：金融监控软件也会窃取诸如应用安装列表、设备信息和短信等信息到主控服务器。  Step 7：同时，金融监控软件会接收主控服务器下发的远控指令，在用户使用金融软件时，进行用户金融软件账户密码窃取和锁定金融软件，禁止用户使用的行为，并将相关操作日志上传到主控服务器。  Step 8：最后，金相狐组织通过受害者设备信息和大量的面部特征数据，通过AI换脸或合成等技术即有可能实现异地登录受害用户金融账户，实施转移财产等操作。 3 4 第三章 仿冒软件分析 在高级威胁攻击中，常见的手法是将诱饵软件伪装成目标人群所需或使用量大的软件，例如政府软件和生活缴费软件。对此仿冒软件进行分析时，我们发现它不仅利用社会工程学手段诱导受害者，还在服务器端对受害者的真实性进行校验，可能通过目标用户电话匹配或官方软件泄露信息验证等手段，在提高目标精准度的同时还会给安全分析人员增加分析成本。 尽管仿冒软件在投递和信息窃取过程中主要使用社工手段，并没有使用漏洞攻击等高破坏性技术手段，看似并不具备什么高级技术能力。然而，在样本分析中，我们发现攻击者采用了多种技术手段进行自我保护和安全分析对抗，例如应用加固、运行环境检测、清单文件混淆和源码字符串加密等。 这次攻击活动中，受害者的面部生物特征数据被上传到云存储，同时将相应材料的云URL上传到主控服务器，而此次攻击中还会尝试将面部生物特征数据直接上传到主控服务器。在没有目标账户或真实账户等测试条件下，我们依托自身技术能力对伪装软件的窃取受害者信息的运行过程和主要功能进行了多维度的分析。 一、 权限申请 随着移动系统对于用户保护的安全升级，应用程序在获取用户信息的时候，大多需要明确申请权限，获得用户授权后才能使用相应功能。而常见的恶意软件往往会申请大量的应用权限，此次攻击使用的仿冒软件申请权限多达29项，这些权限包含无障碍服务、相机、短信等高危权限。 在众多权限中，有一个比较特殊的权限——无障碍服务权限。无障碍服务是一套可以模拟操作的系统级别的API，用户同意之后就可以模拟操作，来控制用户的手机。恶意软件常常通过诱导的方式来获得此权限，下面就该仿冒软件申请此权限做简要说明。 (一) 无障碍服务权限申请 在正确设置安全密码后，恶意应用会启动系统设置页面申请辅助功能服务，通过社工伪装成安全服务来诱导受害者激活。随后会上传恶意软件被授予权限状态。 5 申请无障碍服务权限页面如下： 上传权限状态网络数据如下： 6 受害者开启无障碍功能服务后，显示应用程序激活，等待官方审核，页面如下： 二、 人脸识别材料窃取 金相狐组织的核心是对金融软件的攻击，序中也提到泰国新政的发布，所以此仿冒软件的核心功能则是窃取受害者的人脸识别数据相关材料，继而通过AI相关技术，实现最终的攻击目标。 (一) 窃取身份证件信息 仿冒软件会通过社工手段诱导受害用户上传自己的身份证件信息，而身份证件信息不仅可以用于金融账户和交易的使用环节，还可能用于提取受害者面部特征数据，所以我们姑且将窃取身份证件信息的行为归为面部特征数据窃取。 上传身份证件照片页面如下： 7 上传身份证件信息网络数据如下： 8 仿冒软件将受害者身份证件信息上传到云存储服务器后，会将正反面身份证件信息的云URL上传到主控服务器，方便管理和直接获取。 上传云URL到主控服务器的源码如下： 上传身份证件信息的云URL到主控服务器，网络数据如下： 9 应用本地存储的身份证件照片在外存储的应用数据目录中，测试示例如下： (二) 窃取人脸识别数据 恶意软件的另一主要功能是窃取受害者用