[新聞] iOS 木馬病毒「淘金者」系列是如何運作的

行動通訊

43153


1.圖文好讀版: https://reurl.cc/lglDR6 (無廣告,文長)

2.原文標題:iOS 木馬病毒「淘金者」GoldDigger 系列是如何運作的?為什麼特別危險?

3.原文來源(媒體/作者): 科技人/黃郁棋

4.原文內容:

有在關注資安相關議題的人,這兩天應該都看到了一個令人震驚的新型木馬病毒出現:
GoldDigger,淘金者。GoldDigger 木馬是由資安公司 Group-IB 所揭露,它具備幾個特
徵:可以收集用戶臉部資料、竊取用戶身份證件資訊、可以攔截 OTP 密碼,完全針對市
場上主流的資安技術做出了破解。

GoldDigger 木馬病毒到底是什麼?

從下面這張圖,我們可以看見這「系列」木馬的演進:

初代 GoldDigger 木馬(Android,2023/6)

GoldDiggerPlus 以及 Goldkefu 木馬(Android,2023/9)

GoldPickaxe 木馬(Android、iOS,2023/10)

從淘金者、淘金者進階版以及金客服,一直到金鎬,這款木馬迭代相當快速,且從命名就
不難發現,這背後的駭客團隊 GoldFactory 應該是來自中國。

值得注意的是,這個木馬成功讓用戶變成受害者的前提,是用戶一開始主動參與提供資料
。是的,這並不是一個從頭到尾默默藏在系統的木馬病毒,它的起點跟其他的許多木馬病
毒類似:網路釣魚。

GoldDigger 或 GoldPickaxe 到底是如何運作的?

目前網路上的新聞,大部分都停留在「提到有這個木馬的存在」,而沒有深入說明這款木
馬的運作模式,以及一般人是如何上當受害的。

我們可以從 Group-IB 的官方報告,來探究這款木馬的運作模式。

GoldFactory 系列的木馬攻擊,都是起始於受害者收到一封精心設計的釣魚電子郵件、簡
訊,或社交軟體的聊天訊息。這個訊息通常會聲稱,他們來自當地的銀行或政府機構,因
為各種原因,要求受害者點擊惡意網址。

當受害者點擊網址時,他們會被連去一個偽造的網站,鼓勵他們安裝一個偽造的政府應用
程式。這個應用程式會要求用戶輸入他們的個人資訊、身份證件資訊,甚至要他們輸入生
物特徵數據,例如拍攝多角度的面部照片或影片等等。

在這過程當中,該木馬軟體甚至會給出「請低頭」、「請穩住相機」等提示,逼真程度相
當誇張,iOS、Android 應用程式都有類似的環節,目的在竊取受害者的生物辨識資訊。

一旦受害者輸入了他們的數據,木馬就會將其竊取並發送給攻擊者。攻擊者可以使用這些
數據來訪問受害者的銀行帳戶、進行欺詐交易甚至冒充受害者。

由於這個木馬能夠取得「用戶的生物辨識資訊」以及「身份證件資訊」,攔截「OTP 驗證
簡訊」,駭客會利用 Deepfake 深偽技術,來製造出受害者的虛擬臉部,用它來順利通過
銀行軟體的面部認證。

Group-IB 提到,GoldDigger 似乎側重於竊取銀行憑證,而 GoldPickaxe 則更側重於竊
取用戶的深度個資。

GoldDigger 以及 GoldPickaxe 是如何讓用戶安裝上木馬的?

如同前面提到的,一切都是從用戶點擊了偽裝成政府單位、銀行單位所提供的惡意網址開
始,這是全部的起點。

Android 用戶,會被引導安裝 .apk 檔案,將偽造的政府應用程式安裝進去手機裏面。

iOS 用戶由於 App Store 的封閉性,要讓用戶上當安裝木馬軟體並不容易。駭客起先是
利用 Test Flight 測試平台,但後來發現難度太高,於是轉向說服蘋果用戶自願安裝
MDM(Mobile Device Management,智慧型手機自動化管理系統),將手機的全部控制權
都交給駭客。

是的沒錯,駭客根本無需破解蘋果 iOS 系統,也沒有利用任何漏洞,一切都是「用戶自
願」上當的。

MDM 對於許多人來說可能並不陌生,它廣泛被利用在「公司手機」、「國軍手機」上頭。

例如男生當兵要進軍營的時候,會被要求必須安裝 MDM,安裝後系統就會限制住手機的拍
照、熱點、藍牙傳輸等功能,以此避免機密資訊的外洩。

而駭客就是利用一樣的機制,想辦法說服蘋果用戶主動安裝 MDM,將手機的控制權直接交
給駭客。這過程有可能是透過真人或 AI 的社群軟體互動,讓用戶在交談的過程中相信對
方,並且按照教學主動安裝,如上圖就是駭客提供的教學。

其實這操作流程並沒有很直覺,但是用戶一旦真的上當了,就會盡力按照駭客的教學,想
辦法把自己給賣掉。

Android 用戶,會被引導安裝 .apk 檔案,將偽造的政府應用程式安裝進去手機裏面。

iOS 用戶由於 App Store 的封閉性,要讓用戶上當安裝木馬軟體並不容易。駭客起先是
利用 Test Flight 測試平台,但後來發現難度太高,於是轉向說服蘋果用戶自願安裝
MDM(Mobile Device Management,智慧型手機自動化管理系統),將手機的全部控制權
都交給駭客。

是的沒錯,駭客根本無需破解蘋果 iOS 系統,也沒有利用任何漏洞,一切都是「用戶自
願」上當的。

MDM 對於許多人來說可能並不陌生,它廣泛被利用在「公司手機」、「國軍手機」上頭。

例如男生當兵要進軍營的時候,會被要求必須安裝 MDM,安裝後系統就會限制住手機的拍
照、熱點、藍牙傳輸等功能,以此避免機密資訊的外洩。

而駭客就是利用一樣的機制,想辦法說服蘋果用戶主動安裝 MDM,將手機的控制權直接交
給駭客。這過程有可能是透過真人或 AI 的社群軟體互動,讓用戶在交談的過程中相信對
方,並且按照教學主動安裝,如上圖就是駭客提供的教學。

其實這操作流程並沒有很直覺,但是用戶一旦真的上當了,就會盡力按照駭客的教學,想
辦法把自己給賣掉。

用戶可以如何防範這類木馬、惡意軟體的傷害?

對用戶來說,有幾個做法可以最大程度的避開風險:

不要點擊簡訊上的任何可疑網址
不要點擊社交軟體上別人傳來的任何可疑網址
承上,就算傳送對象是親人朋友也一樣,因為你不知道他是不是已經先被駭客入侵了
不要在任何「http」開頭的網頁上輸入任何資料(現在正規網站至少都是「https」開頭
了)
要學會看「網址的正確性」,這個相當重要:假設對方自稱中華電信員工,傳過來的網址
卻不是「cht.com.tw」開頭的,那就相當可疑
不要安裝來路不明的任何檔案
不要安裝任何來路不明的 MDM 描述檔案
養成隨時隨地懷疑網路資訊真實性的習慣,有疑問時不妨在 Google 上搜尋看看

為什麼 GoldDigger 以及 GoldPickaxe 這麼讓人害怕?

必須說,這一次駭客的侵略範圍觸及最多年輕人使用的 iOS 系統,以及現在被廣泛運用
的生物特徵辨識系統,讓很多人感到相當不安。

連你的生物特徵資訊(例如臉部特徵)都被駭客複製下來了,你密碼被別人知道了還能改
密碼,你的臉部特徵被複製了,難道要去整形嗎?

因此,用戶在第一時間避開木馬、避免點擊惡意網址、避免安裝惡意應用程式,以及避免
安裝來路部門的 MDM 描述檔,是重中之重。數位時代雖然充滿著機會,卻也同時充斥著
危機,網際網路是一個人吃人的噩夜叢林,不是什麼天堂樂土,無時無刻都要小心,駭客
正在虎視眈眈啊。

5.心得/評論:內容須超過繁體中文30字(不含標點符號)。

其實從生物辨識系統出來,要取代密碼的時候,這個隱憂就存在了: 如果你的指紋,

你的臉, 你的靜脈特徵被駭客拿走了, 那就真的完蛋了 ...

因為密碼可以改, 但是你的身體特徵不能改, 駭客一旦得到了, 你的這個特徵就終生失效

這個害怕, 正在逐漸成為現實, 而且不只是 Android 用戶受影響, iOS 也逃不掉!


--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.195.202.146 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1708176093.A.309.html
shlee1樓ios能中這個的話真的只能說是使用者問題了 02/17 21:31
ArcueidY2樓心得偏頗,如果不開放側載其實就沒問題了 02/17 21:32
本人3樓iOS 這次是利用 MDM 不是側載 02/17 21:39
chi174樓號稱生物辨識卻讓照片過關的驗證方式就別搞笑了... 02/17 21:44
abc210869995樓 02/17 21:44
zxcbrian6樓但蘋果不能靠相片,是要用戶極力配合吧? 02/17 21:47
kisia7樓IOS真的要夠無知才能中標 02/17 21:47
chi178樓Group-ib原文機翻 02/17 21:49
a275886799樓中間有段落重複了 02/17 21:49
chi1710樓敢只用純鏡頭做人臉辨識的手機或APP真的很有種啊 02/17 21:51
BoardTurtle11樓社交安全攻擊? 請問這新在哪裡需要額外寫一篇文章? 02/17 21:58
square412樓封閉模式 02/17 22:03
finhisky13樓是主動下載不是被騙 02/17 22:14
aq98133414樓IOS上當機率還是比較難的,相對於Android 直接能安 02/17 22:33
aq98133415樓裝比起來,難易度跟操作度都高很多 02/17 22:33
efkfkp16樓又不是當兵或上班誰沒事在自己手機裡裝MDM阿?只有 02/17 22:57
efkfkp17樓被政府洗腦到無條件配合的中國人會被騙吧= =? 02/17 22:57
uc50018樓「駭客會利用 Deepfake 深偽技術,來製造出受害者的 02/17 23:07
uc50019樓虛擬臉部,用它來順利通過銀行軟體的面部認證。」所 02/17 23:07
uc50020樓以有問題的是銀行吧? 02/17 23:07
atashi777721樓所以蘋果這麼貴也沒多強阿..... 02/17 23:14
spfy22樓內文不就說了是引誘user自願裝 可能有人沒看內文嗎 02/17 23:35
ck96078523樓這篇電影說的是養蜂人的某部分電影情節嗎 02/17 23:35
s0171424樓那段話是怎麼理解成是銀行問題的... 02/17 23:49
jraz25樓從回文的某些人就知道被騙也是不意外了 02/17 23:56
jraz26樓文章理解能力有待加強 02/17 23:57
atashi777727樓下神壇了 02/18 00:15
atashi777728樓QQ 02/18 00:15
good575529樓這感覺主要詐騙的對象 是牆內的蘋果用戶 02/18 00:35
JH1030樓安卓也是引誘裝apk,ios和安卓兩個方法差不多 02/18 00:41
更多新聞
[新聞] 認證網站暴雷!傳 Google 下一代中階 Pix
[新聞] 印度市場 蘋果擴產iPhone重點
[新聞] 買家 5 星滿意度創新高 Galaxy S24 史
[新聞] Nothing Phone (2a)要來了!3月5日登場 4
[新聞] NCC:手機打網路電話1天1小時 逾99%民眾
[新聞] 效能進步有限?疑似 Google 新旗艦 Pixel
[新聞] 技術又突破?FT:中芯將為華為新高階手
[新聞] Google畫圈搜尋功能將開放更多Android手