1.图文好读版: https://reurl.cc/lglDR6 (无广告,文长)
2.原文标题:iOS 木马病毒“淘金者”GoldDigger 系列是如何运作的?为什么特别危险?
3.原文来源(媒体/作者): 科技人/黄郁棋
4.原文内容:
有在关注资安相关议题的人,这两天应该都看到了一个令人震惊的新型木马病毒出现:
GoldDigger,淘金者。GoldDigger 木马是由资安公司 Group-IB 所揭露,它具备几个特
征:可以收集用户脸部资料、窃取用户身份证件资讯、可以拦截 OTP 密码,完全针对市
场上主流的资安技术做出了破解。
GoldDigger 木马病毒到底是什么?
从下面这张图,我们可以看见这“系列”木马的演进:
初代 GoldDigger 木马(Android,2023/6)
GoldDiggerPlus 以及 Goldkefu 木马(Android,2023/9)
GoldPickaxe 木马(Android、iOS,2023/10)
从淘金者、淘金者进阶版以及金客服,一直到金镐,这款木马迭代相当快速,且从命名就
不难发现,这背后的骇客团队 GoldFactory 应该是来自中国。
值得注意的是,这个木马成功让用户变成受害者的前提,是用户一开始主动参与提供资料
。是的,这并不是一个从头到尾默默藏在系统的木马病毒,它的起点跟其他的许多木马病
毒类似:网络钓鱼。
GoldDigger 或 GoldPickaxe 到底是如何运作的?
目前网络上的新闻,大部分都停留在“提到有这个木马的存在”,而没有深入说明这款木
马的运作模式,以及一般人是如何上当受害的。
我们可以从 Group-IB 的官方报告,来探究这款木马的运作模式。
GoldFactory 系列的木马攻击,都是起始于受害者收到一封精心设计的钓鱼电子邮件、简
讯,或社交软件的聊天讯息。这个讯息通常会声称,他们来自当地的银行或政府机构,因
为各种原因,要求受害者点击恶意网址。
当受害者点击网址时,他们会被连去一个伪造的网站,鼓励他们安装一个伪造的政府应用
程式。这个应用程式会要求用户输入他们的个人资讯、身份证件资讯,甚至要他们输入生
物特征数据,例如拍摄多角度的面部照片或影片等等。
在这过程当中,该木马软件甚至会给出“请低头”、“请稳住相机”等提示,逼真程度相
当夸张,iOS、Android 应用程式都有类似的环节,目的在窃取受害者的生物辨识资讯。
一旦受害者输入了他们的数据,木马就会将其窃取并发送给攻击者。攻击者可以使用这些
数据来访问受害者的银行帐户、进行欺诈交易甚至冒充受害者。
由于这个木马能够取得“用户的生物辨识资讯”以及“身份证件资讯”,拦截“OTP 验证
短信”,骇客会利用 Deepfake 深伪技术,来制造出受害者的虚拟脸部,用它来顺利通过
银行软件的面部认证。
Group-IB 提到,GoldDigger 似乎侧重于窃取银行凭证,而 GoldPickaxe 则更侧重于窃
取用户的深度个资。
GoldDigger 以及 GoldPickaxe 是如何让用户安装上木马的?
如同前面提到的,一切都是从用户点击了伪装成政府单位、银行单位所提供的恶意网址开
始,这是全部的起点。
Android 用户,会被引导安装 .apk 档案,将伪造的政府应用程式安装进去手机里面。
iOS 用户由于 App Store 的封闭性,要让用户上当安装木马软件并不容易。骇客起先是
利用 Test Flight 测试平台,但后来发现难度太高,于是转向说服苹果用户自愿安装
MDM(Mobile Device Management,智慧型手机自动化管理系统),将手机的全部控制权
都交给骇客。
是的没错,骇客根本无需破解苹果 iOS 系统,也没有利用任何漏洞,一切都是“用户自
愿”上当的。
MDM 对于许多人来说可能并不陌生,它广泛被利用在“公司手机”、“国军手机”上头。
例如男生当兵要进军营的时候,会被要求必须安装 MDM,安装后系统就会限制住手机的拍
照、热点、蓝牙传输等功能,以此避免机密资讯的外泄。
而骇客就是利用一样的机制,想办法说服苹果用户主动安装 MDM,将手机的控制权直接交
给骇客。这过程有可能是透过真人或 AI 的社群软件互动,让用户在交谈的过程中相信对
方,并且按照教学主动安装,如上图就是骇客提供的教学。
其实这操作流程并没有很直觉,但是用户一旦真的上当了,就会尽力按照骇客的教学,想
办法把自己给卖掉。
Android 用户,会被引导安装 .apk 档案,将伪造的政府应用程式安装进去手机里面。
iOS 用户由于 App Store 的封闭性,要让用户上当安装木马软件并不容易。骇客起先是
利用 Test Flight 测试平台,但后来发现难度太高,于是转向说服苹果用户自愿安装
MDM(Mobile Device Management,智慧型手机自动化管理系统),将手机的全部控制权
都交给骇客。
是的没错,骇客根本无需破解苹果 iOS 系统,也没有利用任何漏洞,一切都是“用户自
愿”上当的。
MDM 对于许多人来说可能并不陌生,它广泛被利用在“公司手机”、“国军手机”上头。
例如男生当兵要进军营的时候,会被要求必须安装 MDM,安装后系统就会限制住手机的拍
照、热点、蓝牙传输等功能,以此避免机密资讯的外泄。
而骇客就是利用一样的机制,想办法说服苹果用户主动安装 MDM,将手机的控制权直接交
给骇客。这过程有可能是透过真人或 AI 的社群软件互动,让用户在交谈的过程中相信对
方,并且按照教学主动安装,如上图就是骇客提供的教学。
其实这操作流程并没有很直觉,但是用户一旦真的上当了,就会尽力按照骇客的教学,想
办法把自己给卖掉。
用户可以如何防范这类木马、恶意软件的伤害?
对用户来说,有几个做法可以最大程度的避开风险:
不要点击短信上的任何可疑网址
不要点击社交软件上别人传来的任何可疑网址
承上,就算传送对象是亲人朋友也一样,因为你不知道他是不是已经先被骇客入侵了
不要在任何“http”开头的网页上输入任何资料(现在正规网站至少都是“https”开头
了)
要学会看“网址的正确性”,这个相当重要:假设对方自称中华电信员工,传过来的网址
却不是“cht.com.tw”开头的,那就相当可疑
不要安装来路不明的任何档案
不要安装任何来路不明的 MDM 描述档案
养成随时随地怀疑网络资讯真实性的习惯,有疑问时不妨在 Google 上搜寻看看
为什么 GoldDigger 以及 GoldPickaxe 这么让人害怕?
必须说,这一次骇客的侵略范围触及最多年轻人使用的 iOS 系统,以及现在被广泛运用
的生物特征辨识系统,让很多人感到相当不安。
连你的生物特征资讯(例如脸部特征)都被骇客复制下来了,你密码被别人知道了还能改
密码,你的脸部特征被复制了,难道要去整形吗?
因此,用户在第一时间避开木马、避免点击恶意网址、避免安装恶意应用程式,以及避免
安装来路部门的 MDM 描述档,是重中之重。数位时代虽然充满著机会,却也同时充斥着
危机,互联网是一个人吃人的噩夜丛林,不是什么天堂乐土,无时无刻都要小心,骇客
正在虎视眈眈啊。
5.心得/评论:内容须超过繁体中文30字(不含标点符号)。
其实从生物辨识系统出来,要取代密码的时候,这个隐忧就存在了: 如果你的指纹,
你的脸, 你的静脉特征被骇客拿走了, 那就真的完蛋了 ...
因为密码可以改, 但是你的身体特征不能改, 骇客一旦得到了, 你的这个特征就终生失效
这个害怕, 正在逐渐成为现实, 而且不只是 Android 用户受影响, iOS 也逃不掉!