金相狐黑产团伙：AI人脸识别诈骗敲响金融安全警钟

摘要金相狐组织制作投递伪装成泰国省电力局（PEA）应用的仿冒软件获得授权后，开始窃取面部特征数据和其他信息。为了更好的实施金融诈骗，仿冒软件会下载并诱导受害者安装金融监控软件。2 1 2第三章仿冒软件分析 4一、权限申请 4二、人脸识别材料窃取 6 13 16 20第四章金融监控软件分析 23一、API接口功能 23 23 29 30附录1奇安信病毒响应中心 30附录2奇安信病毒响应中心移动安全团队 301第一章序示意味着银行在这些情况下不再使用一次性密码（OTP而是采用面部生物特征验证来加此次发现的攻击活动就是黑产团伙针对这一政策定制的新的攻击策略，攻击组织将诱接下来，让我们深入探讨"金相狐"组织的运作方式和对2第二章攻击链图合成等技术即有可能实现异地登录受害用户金融账户，实施转移财产34第三章仿冒软件分析官方软件泄露信息验证等手段，在提高目标精准度的同时还会给安全分析人员增加分析成尽管仿冒软件在投递和信息窃取过程中主要使用社工手段，并没有使用漏洞攻击等高这次攻击活动中，受害者的面部生物特征数据被URL上传到主控服务器，而此次攻击中还会尝试将面部生物特征数据直接上传到主控服务常通过诱导的方式来获得此权限，下面就该仿冒软件申请此装成安全服务来诱导受害者激活。随后会上传恶意软件被授予权限56仿冒软件会通过社工手段诱导受害用户上传自己的身份证件信息，而身份证件信息不且将窃取身份证件信息的行为归为面部特征78仿冒软件将受害者身份证件信息上传到云存储服务器后，会将正反面身份证件信息的9恶意软件的另一主要功能是窃取受害者用于人脸检测识别的面部数据，它们使用“0”。这表明该服务器具有账号真实性验证功能，可能会通过填入的姓名和电话等信息来验传到云存储，这也为后续的精准攻击目标金融软件做准备。/api/app/uploadvideo/api/app/uploadidcard/api/app/updatevideolog/api/app/updatesmsstat/api/app/updatepwd/api/app/updatenewslog/api/app/updatemessagelog/api/app/updatelocksta/api/app/updatelock/api/app/updatedoclog/api/app/updatebanklogmm/api/app/updatebankl/api/app/updatePhoneStatus/api/app/synclockbank/api/app/savevideolog/api/app/savevideo/api/app/savesms/api/app/savesendsms/api/app/savenewslog/api/app/savemessagelog/api/app/savemask/api/app/saveinputlog/api/app/savedoclog/api/app/savedevice/api/app/savecontact/api/app/saveauthlog/api/app/saveapps/api/app/savealbum/api/app/online/api/app/login/api/app/isonline/api/app/getsize/api/app/getfrpconfig/api/app/getbankconfig/api/app/getaadfkfjoooosssss/api/app/getBPackageUrl/api/app/checkdestruction/api/app/changewifistatus/api/app/changesignal/api/app/applynoauth/api/app/applyauth第四章金融监控软件分析金融监控软件是一个无启动图标的应用，通过伪装软件进行开启，并将主控地址通过/api/app/applyauthforb/api/app/applynoauthforb/api/app/bonline/api/app/getbfrpconfig/api/app/saveapps/api/app/savedeviceb/api/app/savesms/api/app/updatebanklogmm/api/app/updatesmsstatcom.cimbthai.digitaMyMobyGSBBangkokBankMbankcom.kasikorn.retail.mbanki第五章总结本报告对移动端通过窃取人脸识别材料进行金融诈骗攻击活动进行了深入分析。通过此次攻击活动对金融行业安全具有里程碑式的警示意义。传统的攻击手法常常直面金的攻防对抗中，传统攻击手段已很难达到其目的。随着AI技针对特定人群如何避免遭受移动端上的攻击，奇安信病毒响应中心移动安全团队提