[新聞] iOS 木馬病毒「淘金者」系列是如何運作的

看板MobileComm (行動通訊)作者 (逗比叔叔)時間9月前 (2024/02/17 21:21), 9月前編輯推噓12(15352)
留言70則, 37人參與, 9月前最新討論串1/1
1.圖文好讀版: https://reurl.cc/lglDR6 (無廣告,文長) 2.原文標題:iOS 木馬病毒「淘金者」GoldDigger 系列是如何運作的?為什麼特別危險? 3.原文來源(媒體/作者): 科技人/黃郁棋 4.原文內容: 有在關注資安相關議題的人,這兩天應該都看到了一個令人震驚的新型木馬病毒出現: GoldDigger,淘金者。GoldDigger 木馬是由資安公司 Group-IB 所揭露,它具備幾個特 徵:可以收集用戶臉部資料、竊取用戶身份證件資訊、可以攔截 OTP 密碼,完全針對市 場上主流的資安技術做出了破解。 GoldDigger 木馬病毒到底是什麼? 從下面這張圖,我們可以看見這「系列」木馬的演進: 初代 GoldDigger 木馬(Android,2023/6) GoldDiggerPlus 以及 Goldkefu 木馬(Android,2023/9) GoldPickaxe 木馬(Android、iOS,2023/10) 從淘金者、淘金者進階版以及金客服,一直到金鎬,這款木馬迭代相當快速,且從命名就 不難發現,這背後的駭客團隊 GoldFactory 應該是來自中國。 值得注意的是,這個木馬成功讓用戶變成受害者的前提,是用戶一開始主動參與提供資料 。是的,這並不是一個從頭到尾默默藏在系統的木馬病毒,它的起點跟其他的許多木馬病 毒類似:網路釣魚。 GoldDigger 或 GoldPickaxe 到底是如何運作的? 目前網路上的新聞,大部分都停留在「提到有這個木馬的存在」,而沒有深入說明這款木 馬的運作模式,以及一般人是如何上當受害的。 我們可以從 Group-IB 的官方報告,來探究這款木馬的運作模式。 GoldFactory 系列的木馬攻擊,都是起始於受害者收到一封精心設計的釣魚電子郵件、簡 訊,或社交軟體的聊天訊息。這個訊息通常會聲稱,他們來自當地的銀行或政府機構,因 為各種原因,要求受害者點擊惡意網址。 當受害者點擊網址時,他們會被連去一個偽造的網站,鼓勵他們安裝一個偽造的政府應用 程式。這個應用程式會要求用戶輸入他們的個人資訊、身份證件資訊,甚至要他們輸入生 物特徵數據,例如拍攝多角度的面部照片或影片等等。 在這過程當中,該木馬軟體甚至會給出「請低頭」、「請穩住相機」等提示,逼真程度相 當誇張,iOS、Android 應用程式都有類似的環節,目的在竊取受害者的生物辨識資訊。 一旦受害者輸入了他們的數據,木馬就會將其竊取並發送給攻擊者。攻擊者可以使用這些 數據來訪問受害者的銀行帳戶、進行欺詐交易甚至冒充受害者。 由於這個木馬能夠取得「用戶的生物辨識資訊」以及「身份證件資訊」,攔截「OTP 驗證 簡訊」,駭客會利用 Deepfake 深偽技術,來製造出受害者的虛擬臉部,用它來順利通過 銀行軟體的面部認證。 Group-IB 提到,GoldDigger 似乎側重於竊取銀行憑證,而 GoldPickaxe 則更側重於竊 取用戶的深度個資。 GoldDigger 以及 GoldPickaxe 是如何讓用戶安裝上木馬的? 如同前面提到的,一切都是從用戶點擊了偽裝成政府單位、銀行單位所提供的惡意網址開 始,這是全部的起點。 Android 用戶,會被引導安裝 .apk 檔案,將偽造的政府應用程式安裝進去手機裏面。 iOS 用戶由於 App Store 的封閉性,要讓用戶上當安裝木馬軟體並不容易。駭客起先是 利用 Test Flight 測試平台,但後來發現難度太高,於是轉向說服蘋果用戶自願安裝 MDM(Mobile Device Management,智慧型手機自動化管理系統),將手機的全部控制權 都交給駭客。 是的沒錯,駭客根本無需破解蘋果 iOS 系統,也沒有利用任何漏洞,一切都是「用戶自 願」上當的。 MDM 對於許多人來說可能並不陌生,它廣泛被利用在「公司手機」、「國軍手機」上頭。 例如男生當兵要進軍營的時候,會被要求必須安裝 MDM,安裝後系統就會限制住手機的拍 照、熱點、藍牙傳輸等功能,以此避免機密資訊的外洩。 而駭客就是利用一樣的機制,想辦法說服蘋果用戶主動安裝 MDM,將手機的控制權直接交 給駭客。這過程有可能是透過真人或 AI 的社群軟體互動,讓用戶在交談的過程中相信對 方,並且按照教學主動安裝,如上圖就是駭客提供的教學。 其實這操作流程並沒有很直覺,但是用戶一旦真的上當了,就會盡力按照駭客的教學,想 辦法把自己給賣掉。 Android 用戶,會被引導安裝 .apk 檔案,將偽造的政府應用程式安裝進去手機裏面。 iOS 用戶由於 App Store 的封閉性,要讓用戶上當安裝木馬軟體並不容易。駭客起先是 利用 Test Flight 測試平台,但後來發現難度太高,於是轉向說服蘋果用戶自願安裝 MDM(Mobile Device Management,智慧型手機自動化管理系統),將手機的全部控制權 都交給駭客。 是的沒錯,駭客根本無需破解蘋果 iOS 系統,也沒有利用任何漏洞,一切都是「用戶自 願」上當的。 MDM 對於許多人來說可能並不陌生,它廣泛被利用在「公司手機」、「國軍手機」上頭。 例如男生當兵要進軍營的時候,會被要求必須安裝 MDM,安裝後系統就會限制住手機的拍 照、熱點、藍牙傳輸等功能,以此避免機密資訊的外洩。 而駭客就是利用一樣的機制,想辦法說服蘋果用戶主動安裝 MDM,將手機的控制權直接交 給駭客。這過程有可能是透過真人或 AI 的社群軟體互動,讓用戶在交談的過程中相信對 方,並且按照教學主動安裝,如上圖就是駭客提供的教學。 其實這操作流程並沒有很直覺,但是用戶一旦真的上當了,就會盡力按照駭客的教學,想 辦法把自己給賣掉。 用戶可以如何防範這類木馬、惡意軟體的傷害? 對用戶來說,有幾個做法可以最大程度的避開風險: 不要點擊簡訊上的任何可疑網址 不要點擊社交軟體上別人傳來的任何可疑網址 承上,就算傳送對象是親人朋友也一樣,因為你不知道他是不是已經先被駭客入侵了 不要在任何「http」開頭的網頁上輸入任何資料(現在正規網站至少都是「https」開頭 了) 要學會看「網址的正確性」,這個相當重要:假設對方自稱中華電信員工,傳過來的網址 卻不是「cht.com.tw」開頭的,那就相當可疑 不要安裝來路不明的任何檔案 不要安裝任何來路不明的 MDM 描述檔案 養成隨時隨地懷疑網路資訊真實性的習慣,有疑問時不妨在 Google 上搜尋看看 為什麼 GoldDigger 以及 GoldPickaxe 這麼讓人害怕? 必須說,這一次駭客的侵略範圍觸及最多年輕人使用的 iOS 系統,以及現在被廣泛運用 的生物特徵辨識系統,讓很多人感到相當不安。 連你的生物特徵資訊(例如臉部特徵)都被駭客複製下來了,你密碼被別人知道了還能改 密碼,你的臉部特徵被複製了,難道要去整形嗎? 因此,用戶在第一時間避開木馬、避免點擊惡意網址、避免安裝惡意應用程式,以及避免 安裝來路部門的 MDM 描述檔,是重中之重。數位時代雖然充滿著機會,卻也同時充斥著 危機,網際網路是一個人吃人的噩夜叢林,不是什麼天堂樂土,無時無刻都要小心,駭客 正在虎視眈眈啊。 5.心得/評論:內容須超過繁體中文30字(不含標點符號)。 其實從生物辨識系統出來,要取代密碼的時候,這個隱憂就存在了: 如果你的指紋, 你的臉, 你的靜脈特徵被駭客拿走了, 那就真的完蛋了 ... 因為密碼可以改, 但是你的身體特徵不能改, 駭客一旦得到了, 你的這個特徵就終生失效 這個害怕, 正在逐漸成為現實, 而且不只是 Android 用戶受影響, iOS 也逃不掉! -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.195.202.146 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1708176093.A.309.html

02/17 21:31, 9月前 , 1F
ios能中這個的話真的只能說是使用者問題了
02/17 21:31, 1F

02/17 21:32, 9月前 , 2F
心得偏頗,如果不開放側載其實就沒問題了
02/17 21:32, 2F

02/17 21:39, 9月前 , 3F
iOS 這次是利用 MDM 不是側載
02/17 21:39, 3F
※ 編輯: doubi (123.195.202.146 臺灣), 02/17/2024 21:40:20

02/17 21:44, 9月前 , 4F
號稱生物辨識卻讓照片過關的驗證方式就別搞笑了...
02/17 21:44, 4F

02/17 21:44, 9月前 , 5F

02/17 21:47, 9月前 , 6F
但蘋果不能靠相片,是要用戶極力配合吧?
02/17 21:47, 6F

02/17 21:47, 9月前 , 7F
IOS真的要夠無知才能中標
02/17 21:47, 7F

02/17 21:49, 9月前 , 8F
Group-ib原文機翻
02/17 21:49, 8F

02/17 21:49, 9月前 , 9F
中間有段落重複了
02/17 21:49, 9F

02/17 21:51, 9月前 , 10F
敢只用純鏡頭做人臉辨識的手機或APP真的很有種啊
02/17 21:51, 10F

02/17 21:58, 9月前 , 11F
社交安全攻擊? 請問這新在哪裡需要額外寫一篇文章?
02/17 21:58, 11F

02/17 22:03, 9月前 , 12F
封閉模式
02/17 22:03, 12F

02/17 22:14, 9月前 , 13F
是主動下載不是被騙
02/17 22:14, 13F

02/17 22:33, 9月前 , 14F
IOS上當機率還是比較難的,相對於Android 直接能安
02/17 22:33, 14F

02/17 22:33, 9月前 , 15F
裝比起來,難易度跟操作度都高很多
02/17 22:33, 15F

02/17 22:57, 9月前 , 16F
又不是當兵或上班誰沒事在自己手機裡裝MDM阿?只有
02/17 22:57, 16F

02/17 22:57, 9月前 , 17F
被政府洗腦到無條件配合的中國人會被騙吧= =?
02/17 22:57, 17F

02/17 23:07, 9月前 , 18F
「駭客會利用 Deepfake 深偽技術,來製造出受害者的
02/17 23:07, 18F

02/17 23:07, 9月前 , 19F
虛擬臉部,用它來順利通過銀行軟體的面部認證。」所
02/17 23:07, 19F

02/17 23:07, 9月前 , 20F
以有問題的是銀行吧?
02/17 23:07, 20F

02/17 23:14, 9月前 , 21F
所以蘋果這麼貴也沒多強阿.....
02/17 23:14, 21F

02/17 23:35, 9月前 , 22F
內文不就說了是引誘user自願裝 可能有人沒看內文嗎
02/17 23:35, 22F

02/17 23:35, 9月前 , 23F
這篇電影說的是養蜂人的某部分電影情節嗎
02/17 23:35, 23F

02/17 23:49, 9月前 , 24F
那段話是怎麼理解成是銀行問題的...
02/17 23:49, 24F

02/17 23:56, 9月前 , 25F
從回文的某些人就知道被騙也是不意外了
02/17 23:56, 25F

02/17 23:57, 9月前 , 26F
文章理解能力有待加強
02/17 23:57, 26F

02/18 00:15, 9月前 , 27F
下神壇了
02/18 00:15, 27F

02/18 00:15, 9月前 , 28F
QQ
02/18 00:15, 28F

02/18 00:35, 9月前 , 29F
這感覺主要詐騙的對象 是牆內的蘋果用戶
02/18 00:35, 29F

02/18 00:41, 9月前 , 30F
安卓也是引誘裝apk,ios和安卓兩個方法差不多
02/18 00:41, 30F

02/18 00:44, 9月前 , 31F
都是要使用者自己安裝,初次開啟還要給授權
02/18 00:44, 31F

02/18 01:19, 9月前 , 32F
科技始終來自於人性
02/18 01:19, 32F

02/18 01:50, 9月前 , 33F
本來就都是自動上鉤的 沒人這麼無聊花大把時間迫你
02/18 01:50, 33F

02/18 01:51, 9月前 , 34F
手機= =
02/18 01:51, 34F

02/18 03:37, 9月前 , 35F
大家會因為資安安全買ios 不就是期望當使用者無腦
02/18 03:37, 35F

02/18 03:37, 9月前 , 36F
使用時 系統會幫你卡關保護資安不是嗎?
02/18 03:37, 36F

02/18 03:37, 9月前 , 37F
如果什麼都要使用者去判斷什麼能不能點 那安卓和iO
02/18 03:37, 37F

02/18 03:37, 9月前 , 38F
S還真沒兩樣
02/18 03:37, 38F

02/18 04:00, 9月前 , 39F
懶人包: 不安裝來路不明的profile end
02/18 04:00, 39F

02/18 07:32, 9月前 , 40F
我還以為ios很安全
02/18 07:32, 40F

02/18 07:53, 9月前 , 41F
就說了,有問題的是人,把自己賣掉的一大堆,硬要
02/18 07:53, 41F

02/18 07:53, 9月前 , 42F
怪詐騙,怎不怪自己腦子?
02/18 07:53, 42F

02/18 08:18, 9月前 , 43F
iOS根本不需要裝描述檔就可以駭進
02/18 08:18, 43F

02/18 08:18, 9月前 , 44F
手機裡。自己去查飛馬間諜病毒
02/18 08:18, 44F

02/18 08:18, 9月前 , 45F
而以前我平板線上申請維修,
02/18 08:18, 45F

02/18 08:19, 9月前 , 46F
遠在新加坡的Genius Bar就可以
02/18 08:19, 46F

02/18 08:19, 9月前 , 47F
不需安裝遠端app不需權限申請,
02/18 08:19, 47F

02/18 08:19, 9月前 , 48F
就可以用遠端自由進入平板操控
02/18 08:19, 48F

02/18 08:19, 9月前 , 49F
你說這算不算後門?
02/18 08:19, 49F

02/18 08:26, 9月前 , 50F
留這遠端後門如駭客使用後,
02/18 08:26, 50F

02/18 08:26, 9月前 , 51F
那算不算跟飛馬一樣?
02/18 08:26, 51F

02/18 08:55, 9月前 , 52F
防笨不防蠢 記憶體金手指都故意做成不一樣了還是會
02/18 08:55, 52F

02/18 08:56, 9月前 , 53F
有人長短邊插反或D4插到D3 也有人DP和HDMI硬插
02/18 08:56, 53F

02/18 08:57, 9月前 , 54F
防止無腦用不代表真的可以無腦欸 上帝都救不了
02/18 08:57, 54F

02/18 10:24, 9月前 , 55F
還在iPhone貴,笑死,四五萬的東西
02/18 10:24, 55F

02/18 12:23, 9月前 , 56F
我相信以後一隻哀鳳8.9萬應該也有可能
02/18 12:23, 56F

02/18 12:29, 9月前 , 57F
有人裝MDM都不會停下來思考懷疑嗎…智商堪憂
02/18 12:29, 57F

02/18 12:51, 9月前 , 58F
「你是大人物嗎?你的個資很重要嗎?」舔仔趕快裝
02/18 12:51, 58F

02/18 12:51, 9月前 , 59F
MDM就對了,舔要有舔的樣子
02/18 12:51, 59F

02/18 13:05, 9月前 , 60F
飛馬是間諜軟體不是病毒,利用漏洞進去的跟這不一樣
02/18 13:05, 60F

02/18 13:05, 9月前 , 61F
官方可以不經使用者授權就遠端操作的話快去告穩贏的
02/18 13:05, 61F

02/18 13:06, 9月前 , 62F
把官方遠端跟間諜軟體當一樣這很可以,很懂
02/18 13:06, 62F

02/18 13:27, 9月前 , 63F
某樓太扯 把官方遠端跟間諜軟體混唯一談 是在說啥鬼
02/18 13:27, 63F

02/18 14:37, 9月前 , 64F
官方遠端跟開後門可以混一起的不用浪費時間討論啦XD
02/18 14:37, 64F

02/18 16:13, 9月前 , 65F
把遠端跟後門混為一談?那一堆遠端辦公的人情何以
02/18 16:13, 65F

02/18 16:13, 9月前 , 66F
02/18 16:13, 66F

02/18 16:58, 9月前 , 67F
不過允許接受遠端也算多一個潛在風險是沒錯啦
02/18 16:58, 67F

02/19 12:05, 9月前 , 68F
andriod 要能上當反而困難,要先下載 apk ,然後打
02/19 12:05, 68F

02/19 12:05, 9月前 , 69F
開安裝不明來源 apk 的設定,然後還要安裝。
02/19 12:05, 69F

02/20 00:54, 9月前 , 70F
iOS這方面的安全性其實滿高的
02/20 00:54, 70F
文章代碼(AID): #1bqBBTC9 (MobileComm)
文章代碼(AID): #1bqBBTC9 (MobileComm)