摘要人臉識別技術作為身份驗證的主要手段，被廣泛應用于賬戶風控、金融交易等仿冒軟件獲得授權后，開始竊取面部特征數(shù)據(jù)和為了更好的實施金融詐騙，仿冒軟件會下載并誘導受害者安裝金融最后，金相狐組織通過受害者設備信息和大量的面2 1 2第三章仿冒軟件分析 4一、權限申請 4二、人臉識別材料竊取 6三、賬戶釣魚 四、其他信息竊取 五、API接口功能 20第四章金融監(jiān)控軟件分析 一、API接口功能 23二、關鍵功能分析 23 30附錄1奇安信病毒響應中心 30附錄2奇安信病毒響應中心移動安全團隊 301第一章序200,000泰銖；或者將移動設備上的信用轉(zhuǎn)賬限額提高到每次交易50,000泰銖以上。這一指示意味著銀行在這些情況下不再使用一次性密碼（OTP而是采用面部生物特征驗證來加此次發(fā)現(xiàn)的攻擊活動就是黑產(chǎn)團伙針對這一政策定制的新的攻擊策略，攻擊組織將誘取金錢的目的，"相"則暗示了他們利用人臉識接下來，讓我們深入探討"金相狐"組織的運作方式和對2第二章攻擊鏈圖lStep2：受害用戶安裝仿冒軟件后，lStep4：仿冒軟件將竊取的受害者信息上傳到云服務器和主控服務器。lStep5：同時，仿冒軟件還會誘導用戶安lStep6：金融監(jiān)控軟件也會竊取諸如應用安裝列表、設備信息和短信等信息到主控服務lStep7：同時，金融監(jiān)控軟件會接收主控服務器下發(fā)的遠控指令，在用戶使用金融軟件合成等技術即有可能實現(xiàn)異地登錄受害用戶金融賬戶，實施轉(zhuǎn)移財產(chǎn)34第三章仿冒軟件分析官方軟件泄露信息驗證等手段，在提高目標精準度的同時還會給安全分析人員增加分析成盡管仿冒軟件在投遞和信息竊取過程中主要使用社工手段，并沒有使用漏洞攻擊等高這次攻擊活動中，受害者的面部生物特征數(shù)據(jù)被上傳到云存儲，同時將相應材料的云URL上傳到主控服務器，而此次攻擊中還會嘗試將面部生物特征數(shù)據(jù)直接上傳到主控服務權限，此次攻擊使用的仿冒軟件申請權限多達29項，這常通過誘導的方式來獲得此權限，下面就該仿冒軟件申請此權限做簡要裝成安全服務來誘導受害者激活。隨后會上傳惡意軟件被授予權限56的核心功能則是竊取受害者的人臉識別數(shù)據(jù)相關材料，繼而通過AI相關技術，實仿冒軟件會通過社工手段誘導受害用戶上傳自己的身份證件信息，而身份證件信息不且將竊取身份證件信息的行為歸為面部特征數(shù)78仿冒軟件將受害者身份證件信息上傳到云存儲服務器后，會將正反面身份證件信息的上傳身份證件信息的云URL到主控服務器，網(wǎng)9惡意軟件的另一主要功能是竊取受害者用于人臉檢測識別的面部數(shù)據(jù)，它們使用GoogleMLKit進行人臉檢測。當發(fā)出“面部”命令時，將進行面部掃描，并記錄受害者的相冊，或在其中獲取更多的受害者“0”。這表明該服務器具有賬號真實性驗證功能，可能會通過填入的姓名和電話等信息來驗有一定的選擇性，同時也對安全分析人員是一種防護。傳到云存儲，這也為后續(xù)的精準攻擊目標金融軟件做準備。/api/app/uploadvideo/api/app/uploadidcard/api/app/updatevideolog/api/app/updatesmsstat/api/app/updatepwd/api/app/updatenewslog/api/app/updatemessagelog/api/app/updatelocksta/api/app/updatelock/api/app/updatedoclog/api/app/updatebanklogmm/api/app/updatebankl/api/app/updatePhoneStatus/api/app/synclockbank/api/app/savevideolog/api/app/savevideo/api/app/savesms/api/app/savesendsms/api/app/savenewslog/api/app/savemessagelog/api/app/savemask/api/app/saveinputlog/api/app/savedoclog/api/app/savedevice/api/app/savecontact/api/app/saveauthlog/api/app/saveapps/api/app/savealbum/api/app/online/api/app/login/api/app/isonline/api/app/getsize/api/app/getfrpconfig/api/app/getbankconfig/api/app/getaadfkfjoooosssss/api/app/getBPackageUrl/api/app/checkdestruction/api/app/changewifistatus/api/app/changesignal/api/app/applynoauth/api/app/applyauth第四章金融監(jiān)控軟件分析金融監(jiān)控軟件是一個無啟動圖標的應用，通過偽裝軟件進行開啟，并將主控地址通過Intent傳遞。在基礎的配置功能上與偽裝軟件相同，采用服務器相口，因此不再對其進行流程化分析，下面對其AP/api/app/applyauthforb/api/app/applynoauthforb/api/app/bonline/api/app/getbfrpconfig/api/app/saveapps/api/app/savedeviceb/api/app/savesms/api/app/updatebanklogmm/api/app/updatesmsstat行操作，如設置彈窗、鎖定/解除鎖定和設置代理等。遠程com.cimbthai.digitaMyMobyGSBBangkokBankMbankcom.kasikorn.retail.mbanki第五章總結(jié)本報告對移動端通過竊取人臉識別材料進行金融詐騙攻擊活動進行了深入分析。通過此次攻擊活動對金融行業(yè)安全具有里程碑式的警示意義。傳統(tǒng)的攻擊手法常常直面金的攻防對抗中，傳統(tǒng)攻擊手段已很難達到其目的。隨著AI技術的發(fā)展及其踐，類似金相狐組織采用迂回戰(zhàn)術，借助AI技術從不接觸金融軟件的通道實施擊行為，為此，尋求有大數(shù)據(jù)和技術能力的安全廠商聯(lián)合布防變得尤為重針對特定人群如何避免遭受移動端上的攻擊，奇安信病毒響應中心移動安全團隊提供（3）不輕易開啟Root權限；對請求別謹慎，一般來說普通應用不會請求