1、 金相狐黑產團伙：AI 人臉識別詐騙敲響金融安全警鐘 2024 年 03 月 25 日 摘 要 人臉識別技術作為身份驗證的主要手段，被廣泛應用于賬戶風控、金融交易等場景。金相狐組織制作投遞偽裝成泰國省電力局（PEA）應用的仿冒軟件。仿冒軟件獲得授權后，開始竊取面部特征數據和其他信息。為了更好的實施金融詐騙，仿冒軟件會下載并誘導受害者安裝金融監控軟件。金融監控軟件執行主控服務器下發的遠程指令，監控受害用戶金融軟件使用情況，進行釣魚攻擊和運行鎖定。最后，金相狐組織通過受害者設備信息和大量的面部特征數據，通過 AI 換臉或合成等技術即有可能實現異地登錄受害用戶金融賬戶，實施轉移財產等操作。此次攻擊活

2、動對金融行業安全具有里程碑式的警示意義。關鍵詞：關鍵詞：金相狐組織、人臉識別、面部生物特征數據、泰國省電力局（PEA）、身份證件信息、無障礙服務 2 目 錄 第一章 序.1 第二章 攻擊鏈圖.2 第三章 仿冒軟件分析.4 一、權限申請.4 二、人臉識別材料竊取.6 三、賬戶釣魚.13 四、其他信息竊取.16 五、API 接口功能.20 第四章 金融監控軟件分析.23 一、API 接口功能.23 二、關鍵功能分析.23 第五章 總結.29 IOCS.30 附錄 1 奇安信病毒響應中心.30 附錄 2 奇安信病毒響應中心移動安全團隊.30 1 第一章 序 在當今數字化社會，人臉識別技術與金融領域的

3、密切結合，為我們的生活帶來了巨大便利，然而，新的機遇往往帶來新的挑戰。人臉識別技術作為身份驗證的主要手段，被廣泛應用于賬戶風控、金融交易等場景。在 2023 年 3 月，泰國央行發布指示，要求銀行在進行以下交易時采用面部生物特征驗證來確認身份：單筆交易金額達到 50,000 泰銖（約合 1,430 美元）或以上；每日轉賬超過200,000 泰銖；或者將移動設備上的信用轉賬限額提高到每次交易 50,000 泰銖以上。這一指示意味著銀行在這些情況下不再使用一次性密碼（OTP），而是采用面部生物特征驗證來加強身份確認的安全性。此次發現的攻擊活動就是黑產團伙針對這一政策定制的新的攻擊策略，攻擊組織將誘

4、餌惡意軟件偽裝成泰國省電力局（PEA）應用進行投遞，至于為何選此軟件，通過查詢可知泰國省電力局（PEA）應用在 Google Play Store 的下載量就達 500 萬+次，而電網交易又是用戶生活必須事項。此前版本也常常偽裝成泰國政府、金融部門和公共事業公司的相關應用程序，由此可見，這是他們慣用的偽裝手段。不同的是攻擊者在誘導受害用戶安裝此類仿冒軟件后，還會在使用過程中誘導受害用戶安裝一個宣稱為客服軟件的金融監控軟件，繼而實施更加深入的詐騙活動。經過深入分析后，我們將這個幕后組織命名為金相狐（GoldenPhysiognomyFox）組織。這個名字不僅僅是一個標簽，而是一個對該組織行為和特

5、點的生動描述：金代表了他們攫取金錢的目的，相則暗示了他們利用人臉識別技術的手段，而狐則象征了他們狡猾和欺騙的本質。這個名字既突出了他們的行為特點，又讓我們更深入地了解到這個組織的本質。接下來，讓我們深入探討金相狐組織的運作方式和對用戶的威脅。2 第二章 攻擊鏈圖 此次攻擊活動具有一定的復雜度，從目前我們掌握的情報數據進行分析，整個攻擊過程可簡要描述如下：Step 1：金相狐組織制作投遞偽裝成泰國省電力局（PEA）應用的仿冒軟件。Step 2：受害用戶安裝仿冒軟件后，被誘導授予仿冒軟件相關權限。Step 3：仿冒軟件獲得授權后，開始竊取面部特征數據和其他信息。Step 4：仿冒軟件將竊取的受害者

6、信息上傳到云服務器和主控服務器。Step 5：同時，仿冒軟件還會誘導用戶安裝金融監控軟件，并使用意圖開啟此軟件。Step 6：金融監控軟件也會竊取諸如應用安裝列表、設備信息和短信等信息到主控服務器。Step 7：同時，金融監控軟件會接收主控服務器下發的遠控指令，在用戶使用金融軟件時，進行用戶金融軟件賬戶密碼竊取和鎖定金融軟件，禁止用戶使用的行為，并將相關操作日志上傳到主控服務器。Step 8：最后，金相狐組織通過受害者設備信息和大量的面部特征數據，通過 AI 換臉或合成等技術即有可能實現異地登錄受害用戶金融賬戶，實施轉移財產等操作。3 4 第三章 仿冒軟件分析 在高級威脅攻擊中，常見的手法是將

7、誘餌軟件偽裝成目標人群所需或使用量大的軟件，例如政府軟件和生活繳費軟件。對此仿冒軟件進行分析時，我們發現它不僅利用社會工程學手段誘導受害者，還在服務器端對受害者的真實性進行校驗，可能通過目標用戶電話匹配或官方軟件泄露信息驗證等手段，在提高目標精準度的同時還會給安全分析人員增加分析成本。盡管仿冒軟件在投遞和信息竊取過程中主要使用社工手段，并沒有使用漏洞攻擊等高破壞性技術手段，看似并不具備什么高級技術能力。然而，在樣本分析中，我們發現攻擊者采用了多種技術手段進行自我保護和安全分析對抗，例如應用加固、運行環境檢測、清單文件混淆和源碼字符串加密等。這次攻擊活動中，受害者的面部生物特征數據被上傳到云存儲

8、，同時將相應材料的云URL 上傳到主控服務器，而此次攻擊中還會嘗試將面部生物特征數據直接上傳到主控服務器。在沒有目標賬戶或真實賬戶等測試條件下，我們依托自身技術能力對偽裝軟件的竊取受害者信息的運行過程和主要功能進行了多維度的分析。一、權限申請 隨著移動系統對于用戶保護的安全升級，應用程序在獲取用戶信息的時候，大多需要明確申請權限，獲得用戶授權后才能使用相應功能。而常見的惡意軟件往往會申請大量的應用權限，此次攻擊使用的仿冒軟件申請權限多達 29 項，這些權限包含無障礙服務、相機、短信等高危權限。在眾多權限中，有一個比較特殊的權限無障礙服務權限。無障礙服務是一套可以模擬操作的系統級別的 API，用

9、戶同意之后就可以模擬操作，來控制用戶的手機。惡意軟件常常通過誘導的方式來獲得此權限，下面就該仿冒軟件申請此權限做簡要說明。(一)無障礙服務權限申請 在正確設置安全密碼后，惡意應用會啟動系統設置頁面申請輔助功能服務，通過社工偽裝成安全服務來誘導受害者激活。隨后會上傳惡意軟件被授予權限狀態。5 申請無障礙服務權限頁面如下：上傳權限狀態網絡數據如下：6 受害者開啟無障礙功能服務后，顯示應用程序激活，等待官方審核，頁面如下：二、人臉識別材料竊取 金相狐組織的核心是對金融軟件的攻擊，序中也提到泰國新政的發布，所以此仿冒軟件的核心功能則是竊取受害者的人臉識別數據相關材料，繼而通過 AI 相關技術，實現最終

10、的攻擊目標。(一)竊取身份證件信息 仿冒軟件會通過社工手段誘導受害用戶上傳自己的身份證件信息，而身份證件信息不僅可以用于金融賬戶和交易的使用環節，還可能用于提取受害者面部特征數據，所以我們姑且將竊取身份證件信息的行為歸為面部特征數據竊取。上傳身份證件照片頁面如下：7 上傳身份證件信息網絡數據如下：8 仿冒軟件將受害者身份證件信息上傳到云存儲服務器后，會將正反面身份證件信息的云 URL 上傳到主控服務器，方便管理和直接獲取。上傳云 URL 到主控服務器的源碼如下：上傳身份證件信息的云 URL 到主控服務器，網絡數據如下：9 應用本地存儲的身份證件照片在外存儲的應用數據目錄中，測試示例如下：(二)

11、竊取人臉識別數據 惡意軟件的另一主要功能是竊取受害者用于人臉檢測識別的面部數據，它們使用Google ML Kit 進行人臉檢測。當發出“面部”命令時，將進行面部掃描，并記錄并上傳會話。錄制面部視頻時，會給出一些例如眨眼、微笑、向左、向右、向下、點頭、向上和張嘴等指令，使用這種方法通常用于創建全面的面部生物特征檔案。并將這些視頻和照片上傳到云存儲。面部識別檢測頁面如下：10 上傳面部識別視頻到云存儲的網絡數據如下：同竊取身份證件信息一樣，竊取人臉識別視頻后同樣會將視頻的云 URL 上傳到主控服務器，不同的是，此版本的仿冒軟件會先嘗試將其視頻直接上傳到主控服務器。上傳人臉識別視頻和云 URL 到

12、主控服務器的源碼如下：11 上傳視頻的云 URL 到主控服務器，網絡數據如下：嘗試直接將視頻數據上傳到主控服務器，網絡數據如下：12 同樣，應用本地存儲的人臉識別視頻在外存儲的應用數據目錄中，測試示例如下：13 (三)竊取相冊 用于人臉識別或 AI 人臉偽造的關鍵信息中，除了會采集人臉識別的視頻外，還會竊取受害者的相冊，或在其中獲取更多的受害者面部特征數據。上傳相冊到云存儲的網絡數據如下：上傳相冊的云 URL 到主控服務器的網絡數據如下：上傳相冊的云 URL 到主控服務器的源碼如下：三、賬戶釣魚 14 在仿冒軟件中常常伴隨這賬戶釣魚，在此次攻擊中，雖然并沒有發現其獲取泰國省電力局應用賬戶密碼的

13、目的，猜測其進行賬戶釣魚不僅能夠是仿冒應用更像官方應用，也可能在后續或其他的攻擊中進行使用。(一)登錄 在惡意軟件啟動后，通常會進行設備信息上傳和初始化信息檢測等操作，然后進入偽裝的登錄頁面。然而，經過測試發現，填入隨意姓名和電話并不能成功登錄，服務器響應值為“0”。這表明該服務器具有賬號真實性驗證功能，可能會通過填入的姓名和電話等信息來驗證用戶的真實身份，從而阻止非法訪問，這種賬號真實性驗證機制表明攻擊者對攻擊目標具有一定的選擇性，同時也對安全分析人員是一種防護。登錄頁面如下：15 登錄網絡數據如下：(二)設置安全密碼 如果受害者使用真實賬號進行登錄，那么隨后會進入安全密碼設置頁面，要求使用

14、 6 位數字不要重復或連續。密碼設置頁面如下：密碼設置網絡數據如下：16 密碼復雜性校驗源碼如下：四、其他信息竊取 仿冒軟件竊取了大量的信息，除上面的重要信息外，在整個攻擊鏈中，還有比較重要的信息，如下面所列出的兩個惡意采集行為。(一)受害者手機界面監控 受害者授權無障礙服務功能后，設備就被惡意軟件監控了，會通過不斷上傳手機顯示 UI 17 截圖的方式實施監控。上傳照片到云存儲，網絡數據如下：上傳照片的云 URL 到主控服務器，網絡數據如下：18 (二)設備安裝列表竊取 除上述功能外，惡意軟件還會竊取設備已安裝應用列表，同時也會將各應用程序圖標上傳到云存儲，這也為后續的精準攻擊目標金融軟件做準

15、備。應用列表上傳網絡數據如下：19 應用圖標上傳網絡數據示例如下：20 五、API 接口功能 該偽裝軟件中含有大量的功能，每項功能都對應服務器的開發接口，但金相狐組織的該家族軟件近期才開始活躍，仍然處于發展階段，所以有部分非關鍵功能并未啟用或未發現使用。其 API 接口功能表如下：API 接口接口 功能功能/api/app/uploadvideo 上傳視頻到主控服務器/api/app/uploadprogress 上傳云服務器視頻上傳進度/api/app/uploadidcard 上傳身份證照片/api/app/updatevideolog 未發現使用/api/app/updatesmssta

16、tus 未發現使用/api/app/updatepwd 上傳受害者輸入的安全密碼/api/app/updatenewslog 未發現使用/api/app/updatemessagelog 未發現使用/api/app/updatelockstatus 未發現使用/api/app/updatelocklog 未發現使用/api/app/updatedoclog 未發現使用/api/app/updatebanklogmm 上傳受害者輸入的銀行密碼日志/api/app/updatebanklog 未發現使用/api/app/updatePhoneStatus 未發現使用/api/app/syncloc

17、kbank 同步 adid/api/app/savevideolog 未發現使用 21 /api/app/savevideo 上傳視頻的云 URL 到主控服務器/api/app/savesms 上傳受害者短信/api/app/savesendsms 上傳發送的短信/api/app/savenewslog 未發現使用/api/app/savemessagelog 未發現使用/api/app/savemask 上傳遮罩狀態/api/app/savelocklog 未發現使用/api/app/saveinputlog 上傳用戶輸入/api/app/savedoclog 未發現使用/api/app/s

18、avedevice 上傳設備信息/api/app/savecontact 未發現使用/api/app/savebanklog 未發現使用/api/app/saveauthlog 未發現使用/api/app/saveapps 上傳已安裝應用列表/api/app/savealbum 上傳圖片云 URL 到主控服務器/api/app/online 監控心跳狀態/api/app/login 登錄/api/app/isonline 活躍 Ping/api/app/getsize 30000ms 間隔監控在線狀態/api/app/getfrpconfig 獲取 frp 配置/api/app/getbank

19、config 未發現使用 22 /api/app/getaadfkfjoooosssss 獲取云服務器配置/api/app/getBPackageUrl 獲取 B 包信息/api/app/checkdestruction 檢查是否要下載/api/app/changewifistatus 上傳 Wifi 連接狀態/api/app/changesignal 上傳 ping goole 站點的速度/api/app/applynoauth 上傳未申請到的權限/api/app/applyauth 上傳已獲得權限 23 第四章 金融監控軟件分析 為了更好的實施金融詐騙，仿冒軟件會下載并誘導受害者安裝名為“

20、b.apk”的文件包，此包是一個偽裝的客服軟件，軟件內部會監控目標金融軟件，并定制每個金融軟件的釣魚和鎖定界面，我們稱其為金融監控軟件。金融監控軟件是一個無啟動圖標的應用，通過偽裝軟件進行開啟，并將主控地址通過Intent 傳遞。在基礎的配置功能上與偽裝軟件相同，采用服務器相應的“b 接口”或相同接口，因此不再對其進行流程化分析，下面對其 API 接口功能和主要功能信息進行分析。一、API 接口功能 API 接口接口 功能功能/api/app/applyauthforb 上傳已獲得權限/api/app/applynoauthforb 上傳未申請到的權限/api/app/bonline 上傳客戶

21、端狀態/api/app/getbfrpconfig 獲取 frp 配置/api/app/saveapps 上傳已安裝應用列表/api/app/savebanklog 上傳目標銀行操作狀態/api/app/savedeviceb 上傳設備信息/api/app/savesms 上傳短信信息/api/app/updatebanklogmm 上傳受害者輸入的銀行密碼/api/app/updatesmsstatus 未發現使用 二、關鍵功能分析(一)權限界面開啟 金融監控軟件無啟動圖標，在仿冒軟件中通過意圖開啟，并通過不同的 auth 值來控制 24 金融監控軟件申請權限，“1”是申請短信權限；“2”是

22、申請通知權限；“3”是使用情況查看權限；“4”是申請懸浮窗權限。仿冒軟件開啟金融監控軟件源碼如下：金融監控軟件權限申請控制源碼如下：25 (二)遠程控制 在對受害者詐騙的過程中，惡意軟件可以實時遠程控制目標設備，主要針對目標銀行進行操作，如設置彈窗、鎖定/解除鎖定和設置代理等。遠程控制源碼如下：26 27 (三)金融軟件操控 在遠控功能中，具有一系列試圖控制用戶金融應用使用的命令，其中就包含下發彈窗和鎖定目標銀行的功能，而鎖定的方式則是通過load應用包中定制開發的各個金融應用的html偽裝頁面，并以此獲得受害者的金融賬戶密碼。偽裝金融應用的彈窗頁面和鎖定頁面如下：彈窗和鎖定頁面，在監控的金融

23、軟件開啟時觸發，如果在遠程控制相應目標中，則執行相應操作。執行操作的源碼如下：28 目標金融軟件如下表所示：名稱名稱 包名包名 CIMB THAI com.cimbthai.digital.mycimb MyMo by GSB com.mobilife.gsb.mymo KMA com.krungsri.kma Bangkok Bank Mobile Banking com.bbl.mobilebanking BAAC Mobile com.baac.amobileplus ttb touch com.TMBTOUCH.PRODUCTION Krungthai NEXT bank SCB EA

24、SY com.scb.phone K PLUS com.kasikorn.retail.mbanking.wap 29 第五章 總結 本報告對移動端通過竊取人臉識別材料進行金融詐騙攻擊活動進行了深入分析。通過對攻擊活動的調查和研究，我們發現攻擊者偽裝成合法機構的應用程序，誘使用戶下載并使用，進而竊取用戶的面部生物特征數據及個人金融信息。攻擊活動主要通過兩個渠道展開：一是偽裝成政府或金融機構的應用，以獲取用戶的信任并獲取面部生物特征數據；二是利用定制化的金融監控軟件誘導用戶安裝，以監控用戶的金融軟件狀態并獲取敏感信息和實時控制。此次攻擊活動對金融行業安全具有里程碑式的警示意義。傳統的攻擊手法常常

25、直面金融安全防火墻，如仿冒金融軟件釣魚、通過輔助功能監控金融軟件運行等，但是在愈演愈烈的攻防對抗中，傳統攻擊手段已很難達到其目的。隨著 AI 技術的發展及其在金融領域的實踐，類似金相狐組織采用迂回戰術，借助 AI 技術從不接觸金融軟件的通道實施攻擊也變成了現實，配上強力的分析對抗手段，金融行業應用已經很難從自身安全系統中感知到此類攻擊行為，為此，尋求有大數據和技術能力的安全廠商聯合布防變得尤為重要。針對特定人群如何避免遭受移動端上的攻擊，奇安信病毒響應中心移動安全團隊提供以下防護建議：（1）及時更新系統和應用，在正規的應用商店下載應用。國內的用戶可以在手機自帶的應用商店下載，國外用戶可以在 G

26、oogle Play 下載。不要安裝不可信來源的應用、不要隨便點擊不明 URL 或者掃描安全性未知的二維碼。（2）移動設備及時在可信網絡環境下進行安全更新，不要輕易使用不可信的網絡環境。（3）不輕易開啟 Root 權限；對請求應用安裝權限、激活設備管理器等權限的應用要特別謹慎，一般來說普通應用不會請求這些權限，特別是設備管理器，正常的應用基本沒有這個需求。（4）確保安裝有手機安全軟件，進行實時保護個人財產安全；如安裝奇安信移動安全產品。目前，基于奇安信自研的貓頭鷹引擎、QADE 引擎和威脅情報數據的全線產品，包括奇安信威脅情報平臺（TIP）、奇安信天狗漏洞攻擊防護系統、天擎、天機、天守、天眼高

27、級威脅檢測系統、奇安信 NGSOC（態勢感知與安全運營平臺）、奇安信監管類態勢感知等，都已經支持對此類攻擊的精確檢測。30 IOCs MD5 14db1422fded1a44fb39359248ce80d8 ad1ea800458f4ebf25de0494d4136b4c C2 android.ncxk5.xyz 附錄 1 奇安信病毒響應中心 奇安信病毒響應中心奇安信病毒響應中心是北京奇安信科技有限公司（奇安信集團）旗下的病毒鑒定及響應專業團隊，背靠奇安信核心云平臺，擁有每日千萬級樣本檢測及處置能力、每日億級安全數據關聯分析能力。結合多年反病毒核心安全技術、運營經驗，基于集團自主研發的 QOW

28、L和 QDE（人工智能）引擎，形成跨平臺木馬病毒、漏洞的查殺與修復能力，并且具有強大的大數據分析以及實現全平臺安全和防護預警能力。奇安信病毒響應中心負責支撐奇安信全線安全產品的病毒檢測，積極響應客戶側的安全反饋問題，可第一時間為客戶排除疑難雜癥。中心曾多次處置重大病毒事件、參與重大活動安全保障工作，受到客戶的高度認可，提升了奇安信在業內的品牌影響力。附錄 2 奇安信病毒響應中心移動安全團隊 奇安信病毒響應中心移動安全團隊奇安信病毒響應中心移動安全團隊一直致力移動安全領域及 Android 安全生態的研究。目前，奇安信的移動安全產品除了可以查殺常見的移動端病毒木馬，也可以精準查殺時下流 31 行

29、的刷量、詐騙、博彩、違規、色情等黑產類軟件。通過其內部分析系統可以有效支持對溯源分析等追蹤。團隊結合自研 QADE 引擎和高價值移動端攻擊發現流程已捕獲到多起移動攻擊事件，并發布了多篇移動黑產報告，對外披露了多個 APT 組織活動。近三年來已首發披露五個全新 APT 組織（諾崇獅組織 SilencerLion、利刃鷹組織 BladeHawk、艾葉豹組織SnowLeopard、金剛象組織 VajraEleph 和沙猁貓組織 Caracal Kitten）。未來我們還會持續走在全球移動安全研究的前沿，第一時間追蹤分析最新的移動安全事件、對國內移動相關的黑灰產攻擊進行深入挖掘和跟蹤，為維護移動端上的網絡安全砥礪前行。