AI人脸识别诈骗敲响金融安全警钟

目 录第一章 序 1第二章 攻击图 2第三章 仿冒件析 4一、 权限申请 4二、 人脸识别材料窃取 6三、 账户钓鱼 13四、 其他信息窃取 16五、 API接口功能 20第四章 金融控件析 23一、 API接口功能 23二、 关键功能分析 23第五章 总结 29IOCS 30附录1奇安信病毒响应中心 30附录2奇安信病毒响应中心移动安全团队 30第一章序2023350,000（1,430200,00050,000OP此次发现的攻击活动就是黑产团伙针对这一政策定制的新的攻击策略，攻击组织将诱（PEA）GooglePlayStore500+"Godeognoyox组织。金相"狐接下来，让我们深入探讨"金相狐"组织的运作方式和对用户的威胁。第二章攻击链图Step1（PEA）Step2Step3Step4Step5Step6Step7StepAI第三章仿冒软件分析尽管仿冒软件在投递和信息窃取过程中主要使用社工手段，并没有使用漏洞攻击等高这次攻击活动中，受害者的面部生物特征数据被上传到云存储，同时将相应材料的云URL一、 权限申请29(一) 无障碍服务权限申请申请无障碍服务权限页面如下：上传权限状态网络数据如下：受害者开启无障碍功能服务后，显示应用程序激活，等待官方审核，页面如下：二、 人脸识材料AI(一) 窃取身份证件信息仿冒软件会通过社工手段诱导受害用户上传自己的身份证件信息，而身份证件信息不上传身份证件照片页面如下：上传身份证件信息网络数据如下：仿冒软件将受害者身份证件信息上传到云存储服务器后，会将正反面身份证件信息的云URL上传到主控服务器，方便管理和直接获取。上传云URL到主控服务器的源码如下：上传身份证件信息的云URL到主控服务器，网络数据如下：应用本地存储的身份证件照片在外存储的应用数据目录中，测试示例如下：(二) 窃取人脸识别数据恶意软件的另一主要功能是窃取受害者用于人脸检测识别的面部数据，它们使用GoogleML面部识别检测页面如下：上传面部识别视频到云存储的网络数据如下：同窃取身份证件信息一样，窃取人脸识别视频后同样会将视频的云URL上传到主控服务器，不同的是，此版本的仿冒软件会先尝试将其视频直接上传到主控服务器。上传人脸识别视频和云URL到主控服务器的源码如下：上传视频的云URL到主控服务器，网络数据如下：尝试直接将视频数据上传到主控服务器，网络数据如下：同样，应用本地存储的人脸识别视频在外存储的应用数据目录中，测试示例如下：(三) 窃取相册用于人脸识别或AI人脸伪造的关键信息中，除了会采集人脸识别的视频外，还会窃取受害者的相册，或在其中获取更多的受害者面部特征数据。上传相册到云存储的网络数据如下：上传相册的云URL到主控服务器的网络数据如下：上传相册的云URL到主控服务器的源码如下：三、 账户钓鱼(一) 登录登录页面如下：登录网络数据如下：(二) 设置安全密码6位密码设置页面如下：密码设置网络数据如下：密码复杂性校验源码如下：四、 其他信窃取(一) 受害者手机界面监控UI截图的方式实施监控。上传照片到云存储，网络数据如下：上传照片的云URL到主控服务器，网络数据如下：(二) 设备安装列表窃取应用列表上传网络数据如下：应用图标上传网络数据示例如下：五、 API接口功能APIAPI接口功能/api/app/uploadvideo上传视频到主控服务器/api/app/uploadprogress上传云服务器视频上传进度/api/app/uploadidcard上传身份证照片/api/app/updatevideolog未发现使用/api/app/updatesmsstatus未发现使用/api/app/updatepwd上传受害者输入的安全密码/api/app/updatenewslog未发现使用/api/app/updatemessagelog未发现使用/api/app/updatelockstatus未发现使用/api/app/updatelocklog未发现使用/api/app/updatedoclog未发现使用/api/app/updatebanklogmm上传受害者输入的银行密码日志/api/app/updatebanklog未发现使用/api/app/updatePhoneStatus未发现使用/api/app/synclockbank同步adid/api/app/savevideolog未发现使用/api/app/savevideo上传视频的云URL到主控服务器/api/app/savesms上传受害者短信/api/app/savesendsms上传发送的短信/api/app/savenewslog未发现使用/api/app/savemessagelog未发现使用/api/app/savemask上传遮罩状态/api/app/savelocklog未发现使用/api/app/saveinputlog上传用户输入/api/app/savedoclog未发现使用/api/app/savedevice上传设备信息/api/app/savecontact未发现使用/api/app/savebanklog未发现使用/api/app/saveauthlog未发现使用/api/app/saveapps上传已安装应用列表/api/app/savealbum上传图片云URL到主控服务器/api/app/online监控心跳状态/api/app/login登录/api/app/isonline活跃Ping/api/app/getsize30000ms间隔监控在线状态/api/app/getfrpconfig获取frp配置/api/app/getbankconfig未发现使用/api/app/getaadfkfjoooosssss获取云服务器配置/api/app/getBPackageUrl获取B包信息/api/app/checkdestruction检查是否要下载/api/app/changewifistatus上传Wifi连接状态/api/app/changesignalpinggoole/api/app/applynoauth上传未申请到的权限/api/app/applyauth上传已获得权限第四章金融监控软件分析金融监控软件是一个无启动图标的应用，通过伪装软件进行开启，并将主控地址通过Intent传递。在基础的配置功能上与伪装软件相同，采用服务器相应的“b接口”或相同接口，因此不再对其进行流程化分析，下面对其API接口功能和主要功能信息进行分析。一、 API接口功能API接口功能/api/app/applyauthforb上传已获得权限/api/app/applynoauthforb上传未申请到的权限/api/app/bonline上传客户端状态/api/app/getbfrpconfig获取frp配置/api/app/saveapps上传已安装应用列表/api/app/savebanklog上传目标银行操作状态/api/app/savedeviceb上传设备信息/api/app/savesms上传短信信息/api/app/updatebanklogmm上传受害者输入的银行密码/api/app/updatesmsstatus未发现使用二、 关键功分析(一) 权限界面开启金融监控软件无启动图标，在仿冒软件中通过意图开启，并通过不同的auth值来控制1234(二) 远程控制/(三) 金融软件操控loadhtml目标金融软件如下表所示：名称包名CIMBTHAIcom.cimbthai.digital.mycimbMyMobyGSBcom.mobilife.gsb.mymoKMAcom.krungsri.kmaBangkokBankMobileBankingcom.bbl.mobilebankingBAACMobilecom.baac.amobileplusttbtouchcom.TMBTOUCH.PRODUCTIONKrungthaiNEXTbankSCBEASYcom.scb.phoneKPLUScom.kasikorn.retail.mbanking.wap第五章总结本报告对移动端通过窃取人脸识别材料进行金融诈骗攻击活动进行了深入分析。通过此次攻击活动对金融行业安全具有里程碑式的警示意义