Home 蘋果 iOS iOS 木馬病毒「淘金者」GoldDigger 系列是如何運作的?為什麼特別危險?
iOSAndroid問與答蘋果頭條

iOS 木馬病毒「淘金者」GoldDigger 系列是如何運作的?為什麼特別危險?

clint patterson dYEuFB8KQJk unsplash

有在關注資安相關議題的人,這兩天應該都看到了一個令人震驚的新型木馬病毒出現:GoldDigger,淘金者。GoldDigger 木馬是由資安公司 Group-IB 所揭露,它具備幾個特徵:可以收集用戶臉部資料、竊取用戶身份證件資訊、可以攔截 OTP 密碼,完全針對市場上主流的資安技術做出了破解。

GoldDigger 木馬病毒到底是什麼?

從下面這張圖,我們可以看見這「系列」木馬的演進:

  • 初代 GoldDigger 木馬(Android,2023/6)
  • GoldDiggerPlus 以及 Goldkefu 木馬(Android,2023/9)
  • GoldPickaxe 木馬(Android、iOS,2023/10)

從淘金者、淘金者進階版以及金客服,一直到金鎬,這款木馬迭代相當快速,且從命名就不難發現,這背後的駭客團隊 GoldFactory 應該是來自中國。(Group-IB 也說,從多個跡象顯示,這個團隊的內部溝通應該是使用中文,不過應該也有泰國或越南的當地人協助)

2 5

值得注意的是,這個木馬成功讓用戶變成受害者的前提,是用戶一開始主動參與提供資料。是的,這並不是一個從頭到尾默默藏在系統的木馬病毒,它的起點跟其他的許多木馬病毒類似:網路釣魚。

GoldDigger 或 GoldPickaxe 到底是如何運作的?

目前網路上的新聞,大部分都停留在「提到有這個木馬的存在」,而沒有深入說明這款木馬的運作模式,以及一般人是如何上當受害的。

我們可以從 Group-IB 的官方報告,來探究這款木馬的運作模式。

GoldFactory 系列的木馬攻擊,都是起始於受害者收到一封精心設計的釣魚電子郵件、簡訊,或社交軟體的聊天訊息。這個訊息通常會聲稱,他們來自當地的銀行或政府機構,因為各種原因,要求受害者點擊惡意網址。

mika baumeister J5yoGZLdpSI unsplash

當受害者點擊網址時,他們會被連去一個偽造的網站,鼓勵他們安裝一個偽造的政府應用程式。這個應用程式會要求用戶輸入他們的個人資訊、身份證件資訊,甚至要他們輸入生物特徵數據,例如拍攝多角度的面部照片或影片等等。

在這過程當中,該木馬軟體甚至會給出「請低頭」、「請穩住相機」等提示,逼真程度相當誇張,iOS、Android 應用程式都有類似的環節,目的在竊取受害者的生物辨識資訊。

Group-IB 的報告中提到, 駭客團隊的開發人員使用 Google 的 ML Kit 進行人臉偵測,然後將捕獲到的臉部數據上傳到雲端。

Screenshot 20240217 200615 jpg

一旦受害者輸入了他們的數據,木馬就會將其竊取並發送給攻擊者。攻擊者可以使用這些數據來訪問受害者的銀行帳戶、進行欺詐交易甚至冒充受害者。

由於這個木馬能夠取得「用戶的生物辨識資訊」以及「身份證件資訊」,攔截「OTP 驗證簡訊」,駭客會利用 Deepfake 深偽技術,來製造出受害者的虛擬臉部,用它來順利通過銀行軟體的面部認證。

Group-IB 提到,GoldDigger 似乎側重於竊取銀行憑證,而 GoldPickaxe 則更側重於竊取用戶的深度個資。

GoldDigger 以及 GoldPickaxe 是如何讓用戶安裝上木馬的?

如同前面提到的,一切都是從用戶點擊了偽裝成政府單位、銀行單位所提供的惡意網址開始,這是全部的起點。

Android 用戶,會被引導安裝 .apk 檔案,將偽造的政府應用程式安裝進去手機裏面。

sebastiaan stam RChZT JlI9g unsplash

iOS 用戶由於 App Store 的封閉性,要讓用戶上當安裝木馬軟體並不容易。駭客起先是利用 Test Flight 測試平台,但後來發現難度太高,於是轉向說服蘋果用戶自願安裝 MDM(Mobile Device Management,智慧型手機自動化管理系統),將手機的全部控制權都交給駭客。

是的沒錯,駭客根本無需破解蘋果 iOS 系統,也沒有利用任何漏洞,一切都是「用戶自願」上當的。

MDM 對於許多人來說可能並不陌生,它廣泛被利用在「公司手機」、「國軍手機」上頭。例如男生當兵要進軍營的時候,會被要求必須安裝 MDM,安裝後系統就會限制住手機的拍照、熱點、藍牙傳輸等功能,以此避免機密資訊的外洩。

Screenshot 20240217 200231

而駭客就是利用一樣的機制,想辦法說服蘋果用戶主動安裝 MDM,將手機的控制權直接交給駭客。這過程有可能是透過真人或 AI 的社群軟體互動,讓用戶在交談的過程中相信對方,並且按照教學主動安裝,如上圖就是駭客提供的教學。

其實這操作流程並沒有很直覺,但是用戶一旦真的上當了,就會盡力按照駭客的教學,想辦法把自己給賣掉。

用戶可以如何防範這類木馬、惡意軟體的傷害?

對用戶來說,有幾個做法可以最大程度的避開風險:

  • 不要點擊簡訊上的任何可疑網址
  • 不要點擊社交軟體上別人傳來的任何可疑網址
  • 承上,就算傳送對象是親人朋友也一樣,因為你不知道他是不是已經先被駭客入侵了
  • 不要在任何「http」開頭的網頁上輸入任何資料(現在正規網站至少都是「https」開頭了)
  • 要學會看「網址的正確性」,這個相當重要:假設對方自稱中華電信員工,傳過來的網址卻不是「cht.com.tw」開頭的,那就相當可疑
  • 不要安裝來路不明的任何檔案
  • 不要安裝任何來路不明的 MDM 描述檔案
  • 養成隨時隨地懷疑網路資訊真實性的習慣,有疑問時不妨在 Google 上搜尋看看
getty images 2rZWlHRfLuc unsplash

為什麼 GoldDigger 以及 GoldPickaxe 這麼讓人害怕?

必須說,這一次駭客的侵略範圍觸及最多年輕人使用的 iOS 系統,以及現在被廣泛運用的生物特徵辨識系統,讓很多人感到相當不安。

連你的生物特徵資訊(例如臉部特徵)都被駭客複製下來了,你密碼被別人知道了還能改密碼,你的臉部特徵被複製了,難道要去整形嗎?

因此,用戶在第一時間避開木馬、避免點擊惡意網址、避免安裝惡意應用程式,以及避免安裝來路不明的 MDM 描述檔,是重中之重。

數位時代雖然充滿著機會,卻也同時充斥著危機,網際網路是一個人吃人的噩夜叢林,不是什麼天堂樂土,無時無刻都要小心,駭客正在虎視眈眈啊。

公開留言

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *