病毒概述

近日，太阳集团电子游戏谛听实验室监测到一款名叫GoldPickaxe的 “人脸劫持”犯罪软件，它可以窃取用户的面部识别等生物特征数据、拦截短信以及代理设备流量。GoldPickaxe木马病毒支持iOS和Android版本，是目前发现的首个iOS木马病毒。不同于传统的窃取资金方式，GoldPickaxe木马病毒并不直接从受害者手机中盗取资金，而是通过收集受害者信息来创建深度伪造视频，并自动访问受害者的银行应用程序，允许黑客未经授权访问受害者银行账户。

目前GoldPickaxe活跃在越南和泰国，不过幕后攻击者已经开始扩大活动范围，太阳集团电子游戏会持续监控该团伙动态并积极做好安全防御工作。

病毒分析

GoldFactory开发的这套复杂木马GoldPickaxe自2023年中期以来一直活跃，其受害者分布在越南和泰国，目前已发现的所有木马均处于活跃的进化阶段。

GoldPickaxe有Android版本和iOS版本，其中Android版本会使用Virbox加壳保护，具备较为完善的恶意功能。由于iOS平台的封闭性和权限检查相对严格，iOS版本已解压且没有规避技术，但功能相比Android版本较少。

GoldFactory的诈骗流程大致如下：

一、通过短信、电话、邮件等多种方式诱骗用户访问虚假登录页面

二、受害者下载并安装GoldPickaxe伪装的虚假“数字养老金”应用程序

三、受害者被GoldPickaxe引导输入私密信息，并提示受害者录制视频作为确认材料

四、受害者录制的视频被通过换脸人工智能服务创建成深度伪造视频

五、黑客未经授权访问银行账户并窃取资金

GoldPickaxe.iOS木马将自己伪装成泰国政府服务应用程序并通过滥用MDM计划进行传播。MDM是一种全面的集中式解决方案，用于管理和保护组织内的移动设备（例如智能手机和平板电脑）。MDM的主要目标是简化设备管理任务、增强安全性、确保遵守组织策略并部署应用程序。

黑客通过社会工程欺骗用户下载MDM配置文件。一旦安装此配置文件，黑客就会获得对设备的控制权限，例如远程擦除、设备跟踪和应用程序管理。黑客利用这些功能来安装GoldPickaxe恶意应用程序并获取他们所需的信息。

GoldPickaxe 采用与命令和控制 (C2) 服务器的双重通信方法，利用Websocket接收命令，利用HTTP发送执行结果。在Android设备中Websocket通常使用端口8282，而iOS设备中通常使用端口8383。接收到命令后，恶意软件将执行的结果通过 HTTP 传输到各自的 API 端点，所有命令均采用JSON格式。通过Websocket从C2接收的命令未加密，但发送到 HTTP API端点的结果使用rsa进行加密。最终GoldPickaxe会将受感染设备的数据泄露到阿里云中存储。

GoldPickaxe.Android使用的HTTP API具体如下：

GoldPickaxe的另一个功能是它创建一个SOCKS5代理服务器和快速反向代理 (FRP)。GoldPickaxe启动后，GoldPickaxe.iOS会使用JetFire库连接到Websocket 。该库用于实现可以在后台无阻塞通信的Websocket客户端。如果连接成功，它将在本地主机 ( 127.0.0.1:1081 ) 上启动SOCKS5服务器，同时启动反向代理以启用连接。

在开始之前，GoldPickaxe会发出HTTP请求以获取代理服务器配置。服务器配置存储在手机Documents文件夹中的newconfig.ini文件，之后受感染的手机会收到包含受欺诈控制的服务器地址的配置。它使用以下模板，该模板可在IPA文件中找到。

黑客使用GitHub上提供的轻量级项目——MicroSocks来实现代理功能。

程序引用了WuOtto/OttoKeyboardView开源安全键盘模拟银行APP。

为了集成用Go编写的FRP库，GoldPickaxe使用Golang 移动绑定模块以适用于Android和iOS，这有助于获取网络地址转换 (NAT) 或防火墙后面的本地服务器信息。之后所有流量都会通过同时启动的电话代理服务器进行重定向。

GoldPickaxe.Android对受害者的控制命令列表如下：

该团伙会要求用户拍照来窃取身份证照片、从受害者相册中检索照片并捕获面部识别数据，之后采用人工智能换脸技术利用窃取到的生物识别数据，以获得受害者的银行应用程序授权。开发人员使用Google的ML Kit进行人脸检测，当发出“面部”命令时，将进行面部扫描，录制面部视频时，会给出一些眨眼、微笑、向左、向右、向下点头、向上和张嘴等指令。这种方法通常用于创建全面的面部生物特征档案，这些视频和图片会被上传到云端存储点。

人脸识别的实现程序FaceViewController中调用google faceDetector工具集进行人脸识别，并对获取的人脸视频以H264视频格式上传到C2服务器。

在IDcardViewController中实现获取身份证正反面信息，并保存为图片上传。

综上所述，黑客利用GoldPickaxe木马从受害者设备中提取资金的方案概括如下：

GoldFactory的手机银行木马仍在不断发展。例如，Android恶意软件包含未实现的处理程序或未使用的功能。在此提醒广大用户切勿轻易相信陌生链接和应用程序，以防上当受骗。

防护建议

不要点击可疑链接。避免通过电子邮件、短信和社交媒体帖子中的恶意链接感染移动恶意软件。

通过官方平台下载应用程序。不轻易运行不明程序和压缩文件、不在非正规平台下载软件。

安装新应用程序时请仔细检查所请求的权限，并在应用程序请求辅助功能服务时保持高度警惕。

不要在常用的聊天软件中随意添加陌生人。

如果存疑，请直接致电银行，而不是点击手机屏幕上的银行警报窗口。

附录

样本IOCs列表：

太阳集团电子游戏产品防御配置

♦ 太阳集团电子游戏EDR系统防御配置

1、通过微隔离策略加强访问控制，降低横向感染风险；

2、开启文件实时监控功能，可有效预防和查杀该勒索病毒;

3、开启系统加固功能，可有效拦截该勒索病毒对系统关键位置进行破坏和篡改。

♦ 太阳集团电子游戏僵尸网络木马和蠕虫监测与处置系统配置

1、升级最新威胁情报库，开启威胁情报恶意文件检测和捕获功能，实时检测和捕获网络中传输的GoldPickaxe新型人脸信息窃取病毒；

2、开启威胁情报日志记录和报警功能；

3、可配置旁路阻断或者太阳集团电子游戏防火墙联动，拦截GoldPickaxe新型人脸信息窃取病毒的网络传播。

太阳集团电子游戏产品获取方式

太阳集团电子游戏EDR单机版下载地址：

http://edr.topsec.com.cn

太阳集团电子游戏僵尸网络木马和蠕虫监测与处置系统威胁情报库下载地址:

ftp://ftp.topsec.com.cn