作者 doubi (逗比叔叔)標題 [新聞] iOS 木馬病毒「淘金者」系列是如何運作的時間 Sat Feb 17 21:21:31 2024
1.圖文好讀版:
https://reurl.cc/lglDR6 (無廣告,文長)
2.原文標題:
iOS 木馬病毒「淘金者」GoldDigger 系列是如何運作的?為什麼特別危險?
3.原文來源(媒體/作者):
科技人/黃郁棋
4.原文內容:
有在關注資安相關議題的人,這兩天應該都看到了一個令人震驚的新型木馬病毒出現:
GoldDigger,淘金者。GoldDigger 木馬是由資安公司 Group-IB 所揭露,它具備幾個特
徵:可以收集用戶臉部資料、竊取用戶身份證件資訊、可以攔截 OTP 密碼,完全針對市
場上主流的資安技術做出了破解。
GoldDigger 木馬病毒到底是什麼?
從下面這張圖,我們可以看見這「系列」木馬的演進:
初代 GoldDigger 木馬(Android,2023/6)
GoldDiggerPlus 以及 Goldkefu 木馬(Android,2023/9)
GoldPickaxe 木馬(Android、iOS,2023/10)
從淘金者、淘金者進階版以及金客服,一直到金鎬,這款木馬迭代相當快速,且從命名就
不難發現,這背後的駭客團隊 GoldFactory 應該是來自中國。
值得注意的是,這個木馬成功讓用戶變成受害者的前提,是用戶一開始主動參與提供資料
。是的,這並不是一個從頭到尾默默藏在系統的木馬病毒,它的起點跟其他的許多木馬病
毒類似:網路釣魚。
GoldDigger 或 GoldPickaxe 到底是如何運作的?
目前網路上的新聞,大部分都停留在「提到有這個木馬的存在」,而沒有深入說明這款木
馬的運作模式,以及一般人是如何上當受害的。
我們可以從 Group-IB 的官方報告,來探究這款木馬的運作模式。
GoldFactory 系列的木馬攻擊,都是起始於受害者收到一封精心設計的釣魚電子郵件、簡
訊,或社交軟體的聊天訊息。這個訊息通常會聲稱,他們來自當地的銀行或政府機構,因
為各種原因,要求受害者點擊惡意網址。
當受害者點擊網址時,他們會被連去一個偽造的網站,鼓勵他們安裝一個偽造的政府應用
程式。這個應用程式會要求用戶輸入他們的個人資訊、身份證件資訊,甚至要他們輸入生
物特徵數據,例如拍攝多角度的面部照片或影片等等。
在這過程當中,該木馬軟體甚至會給出「請低頭」、「請穩住相機」等提示,逼真程度相
當誇張,iOS、Android 應用程式都有類似的環節,目的在竊取受害者的生物辨識資訊。
一旦受害者輸入了他們的數據,木馬就會將其竊取並發送給攻擊者。攻擊者可以使用這些
數據來訪問受害者的銀行帳戶、進行欺詐交易甚至冒充受害者。
由於這個木馬能夠取得「用戶的生物辨識資訊」以及「身份證件資訊」,攔截「OTP 驗證
簡訊」,駭客會利用 Deepfake 深偽技術,來製造出受害者的虛擬臉部,用它來順利通過
銀行軟體的面部認證。
Group-IB 提到,GoldDigger 似乎側重於竊取銀行憑證,而 GoldPickaxe 則更側重於竊
取用戶的深度個資。
GoldDigger 以及 GoldPickaxe 是如何讓用戶安裝上木馬的?
如同前面提到的,一切都是從用戶點擊了偽裝成政府單位、銀行單位所提供的惡意網址開
始,這是全部的起點。
Android 用戶,會被引導安裝 .apk 檔案,將偽造的政府應用程式安裝進去手機裏面。
iOS 用戶由於 App Store 的封閉性,要讓用戶上當安裝木馬軟體並不容易。駭客起先是
利用 Test Flight 測試平台,但後來發現難度太高,於是轉向說服蘋果用戶自願安裝
MDM(Mobile Device Management,智慧型手機自動化管理系統),將手機的全部控制權
都交給駭客。
是的沒錯,駭客根本無需破解蘋果 iOS 系統,也沒有利用任何漏洞,一切都是「用戶自
願」上當的。
MDM 對於許多人來說可能並不陌生,它廣泛被利用在「公司手機」、「國軍手機」上頭。
例如男生當兵要進軍營的時候,會被要求必須安裝 MDM,安裝後系統就會限制住手機的拍
照、熱點、藍牙傳輸等功能,以此避免機密資訊的外洩。
而駭客就是利用一樣的機制,想辦法說服蘋果用戶主動安裝 MDM,將手機的控制權直接交
給駭客。這過程有可能是透過真人或 AI 的社群軟體互動,讓用戶在交談的過程中相信對
方,並且按照教學主動安裝,如上圖就是駭客提供的教學。
其實這操作流程並沒有很直覺,但是用戶一旦真的上當了,就會盡力按照駭客的教學,想
辦法把自己給賣掉。
Android 用戶,會被引導安裝 .apk 檔案,將偽造的政府應用程式安裝進去手機裏面。
iOS 用戶由於 App Store 的封閉性,要讓用戶上當安裝木馬軟體並不容易。駭客起先是
利用 Test Flight 測試平台,但後來發現難度太高,於是轉向說服蘋果用戶自願安裝
MDM(Mobile Device Management,智慧型手機自動化管理系統),將手機的全部控制權
都交給駭客。
是的沒錯,駭客根本無需破解蘋果 iOS 系統,也沒有利用任何漏洞,一切都是「用戶自
願」上當的。
MDM 對於許多人來說可能並不陌生,它廣泛被利用在「公司手機」、「國軍手機」上頭。
例如男生當兵要進軍營的時候,會被要求必須安裝 MDM,安裝後系統就會限制住手機的拍
照、熱點、藍牙傳輸等功能,以此避免機密資訊的外洩。
而駭客就是利用一樣的機制,想辦法說服蘋果用戶主動安裝 MDM,將手機的控制權直接交
給駭客。這過程有可能是透過真人或 AI 的社群軟體互動,讓用戶在交談的過程中相信對
方,並且按照教學主動安裝,如上圖就是駭客提供的教學。
其實這操作流程並沒有很直覺,但是用戶一旦真的上當了,就會盡力按照駭客的教學,想
辦法把自己給賣掉。
用戶可以如何防範這類木馬、惡意軟體的傷害?
對用戶來說,有幾個做法可以最大程度的避開風險:
不要點擊簡訊上的任何可疑網址
不要點擊社交軟體上別人傳來的任何可疑網址
承上,就算傳送對象是親人朋友也一樣,因為你不知道他是不是已經先被駭客入侵了
不要在任何「http」開頭的網頁上輸入任何資料(現在正規網站至少都是「https」開頭
了)
要學會看「網址的正確性」,這個相當重要:假設對方自稱中華電信員工,傳過來的網址
卻不是「cht.com.tw」開頭的,那就相當可疑
不要安裝來路不明的任何檔案
不要安裝任何來路不明的 MDM 描述檔案
養成隨時隨地懷疑網路資訊真實性的習慣,有疑問時不妨在 Google 上搜尋看看
為什麼 GoldDigger 以及 GoldPickaxe 這麼讓人害怕?
必須說,這一次駭客的侵略範圍觸及最多年輕人使用的 iOS 系統,以及現在被廣泛運用
的生物特徵辨識系統,讓很多人感到相當不安。
連你的生物特徵資訊(例如臉部特徵)都被駭客複製下來了,你密碼被別人知道了還能改
密碼,你的臉部特徵被複製了,難道要去整形嗎?
因此,用戶在第一時間避開木馬、避免點擊惡意網址、避免安裝惡意應用程式,以及避免
安裝來路部門的 MDM 描述檔,是重中之重。數位時代雖然充滿著機會,卻也同時充斥著
危機,網際網路是一個人吃人的噩夜叢林,不是什麼天堂樂土,無時無刻都要小心,駭客
正在虎視眈眈啊。
5.心得/評論:
內容須超過繁體中文30字(不含標點符號)。
其實從生物辨識系統出來,要取代密碼的時候,這個隱憂就存在了: 如果你的指紋,
你的臉, 你的靜脈特徵被駭客拿走了, 那就真的完蛋了 ...
因為密碼可以改, 但是你的身體特徵不能改, 駭客一旦得到了, 你的這個特徵就終生失效
這個害怕, 正在逐漸成為現實, 而且不只是 Android 用戶受影響, iOS 也逃不掉!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.195.202.146 (臺灣)
※ 作者: doubi 2024-02-17 21:21:31
※ 文章代碼(AID): #1bqBBTC9 (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1708176093.A.309.html
→ shlee: ios能中這個的話真的只能說是使用者問題了1F 02/17 21:31
噓 ArcueidY: 心得偏頗,如果不開放側載其實就沒問題了2F 02/17 21:32
→ doubi: iOS 這次是利用 MDM 不是側載3F 02/17 21:39
※ 編輯: doubi (123.195.202.146 臺灣), 02/17/2024 21:40:20
→ chi17: 號稱生物辨識卻讓照片過關的驗證方式就別搞笑了...4F 02/17 21:44
→ zxcbrian: 但蘋果不能靠相片,是要用戶極力配合吧?6F 02/17 21:47
→ kisia: IOS真的要夠無知才能中標7F 02/17 21:47
→ chi17: 敢只用純鏡頭做人臉辨識的手機或APP真的很有種啊10F 02/17 21:51
噓 BoardTurtle: 社交安全攻擊? 請問這新在哪裡需要額外寫一篇文章?11F 02/17 21:58
→ aq981334: IOS上當機率還是比較難的,相對於Android 直接能安裝比起來,難易度跟操作度都高很多14F 02/17 22:33
推 efkfkp: 又不是當兵或上班誰沒事在自己手機裡裝MDM阿?只有被政府洗腦到無條件配合的中國人會被騙吧= =?16F 02/17 22:57
推 uc500: 「駭客會利用 Deepfake 深偽技術,來製造出受害者的虛擬臉部,用它來順利通過銀行軟體的面部認證。」所以有問題的是銀行吧?18F 02/17 23:07
→ spfy: 內文不就說了是引誘user自願裝 可能有人沒看內文嗎22F 02/17 23:35
推 ck960785: 這篇電影說的是養蜂人的某部分電影情節嗎23F 02/17 23:35
推 s01714: 那段話是怎麼理解成是銀行問題的...24F 02/17 23:49
推 jraz: 從回文的某些人就知道被騙也是不意外了
文章理解能力有待加強25F 02/17 23:56
→ good5755: 這感覺主要詐騙的對象 是牆內的蘋果用戶29F 02/18 00:35
→ JH10: 安卓也是引誘裝apk,ios和安卓兩個方法差不多
都是要使用者自己安裝,初次開啟還要給授權30F 02/18 00:41
→ LuckSK: 科技始終來自於人性32F 02/18 01:19
→ oread168: 本來就都是自動上鉤的 沒人這麼無聊花大把時間迫你手機= =33F 02/18 01:50
→ Crios: 大家會因為資安安全買ios 不就是期望當使用者無腦使用時 系統會幫你卡關保護資安不是嗎?
如果什麼都要使用者去判斷什麼能不能點 那安卓和iOS還真沒兩樣35F 02/18 03:37
推 tonyian: 就說了,有問題的是人,把自己賣掉的一大堆,硬要怪詐騙,怎不怪自己腦子?41F 02/18 07:53
推 f396761440: iOS根本不需要裝描述檔就可以駭進
手機裡。自己去查飛馬間諜病毒
而以前我平板線上申請維修,
遠在新加坡的Genius Bar就可以
不需安裝遠端app不需權限申請,
就可以用遠端自由進入平板操控
你說這算不算後門?
留這遠端後門如駭客使用後,
那算不算跟飛馬一樣?43F 02/18 08:18
→ spfy: 防笨不防蠢 記憶體金手指都故意做成不一樣了還是會有人長短邊插反或D4插到D3 也有人DP和HDMI硬插
防止無腦用不代表真的可以無腦欸 上帝都救不了52F 02/18 08:55
推 zxriffey: 我相信以後一隻哀鳳8.9萬應該也有可能56F 02/18 12:23
推 way3125way: 有人裝MDM都不會停下來思考懷疑嗎…智商堪憂57F 02/18 12:29
推 tzback: 「你是大人物嗎?你的個資很重要嗎?」舔仔趕快裝MDM就對了,舔要有舔的樣子58F 02/18 12:51
→ chi17: 飛馬是間諜軟體不是病毒,利用漏洞進去的跟這不一樣官方可以不經使用者授權就遠端操作的話快去告穩贏的把官方遠端跟間諜軟體當一樣這很可以,很懂60F 02/18 13:05
→ kisia: 某樓太扯 把官方遠端跟間諜軟體混唯一談 是在說啥鬼63F 02/18 13:27
→ oldk13: 官方遠端跟開後門可以混一起的不用浪費時間討論啦XD64F 02/18 14:37
推 FFFFFFFF: 把遠端跟後門混為一談?那一堆遠端辦公的人情何以堪65F 02/18 16:13
→ iMElLoN: 不過允許接受遠端也算多一個潛在風險是沒錯啦67F 02/18 16:58
--