[新聞] iOS 木馬病毒「淘金者」系列是如何運作的

1.圖文好讀版： https://reurl.cc/lglDR6 (無廣告,文長) 2.原文標題：iOS 木馬病毒「淘金者」GoldDigger 系列是如何運作的？為什麼特別危險？ 3.原文來源(媒體/作者)： 科技人/黃郁棋 4.原文內容： 有在關注資安相關議題的人，這兩天應該都看到了一個令人震驚的新型木馬病毒出現： GoldDigger，淘金者。GoldDigger 木馬是由資安公司 Group-IB 所揭露，它具備幾個特 徵：可以收集用戶臉部資料、竊取用戶身份證件資訊、可以攔截 OTP 密碼，完全針對市 場上主流的資安技術做出了破解。 GoldDigger 木馬病毒到底是什麼？ 從下面這張圖，我們可以看見這「系列」木馬的演進： 初代 GoldDigger 木馬（Android，2023/6） GoldDiggerPlus 以及 Goldkefu 木馬（Android，2023/9） GoldPickaxe 木馬（Android、iOS，2023/10） 從淘金者、淘金者進階版以及金客服，一直到金鎬，這款木馬迭代相當快速，且從命名就 不難發現，這背後的駭客團隊 GoldFactory 應該是來自中國。 值得注意的是，這個木馬成功讓用戶變成受害者的前提，是用戶一開始主動參與提供資料 。是的，這並不是一個從頭到尾默默藏在系統的木馬病毒，它的起點跟其他的許多木馬病 毒類似：網路釣魚。 GoldDigger 或 GoldPickaxe 到底是如何運作的？ 目前網路上的新聞，大部分都停留在「提到有這個木馬的存在」，而沒有深入說明這款木 馬的運作模式，以及一般人是如何上當受害的。 我們可以從 Group-IB 的官方報告，來探究這款木馬的運作模式。 GoldFactory 系列的木馬攻擊，都是起始於受害者收到一封精心設計的釣魚電子郵件、簡 訊，或社交軟體的聊天訊息。這個訊息通常會聲稱，他們來自當地的銀行或政府機構，因 為各種原因，要求受害者點擊惡意網址。 當受害者點擊網址時，他們會被連去一個偽造的網站，鼓勵他們安裝一個偽造的政府應用 程式。這個應用程式會要求用戶輸入他們的個人資訊、身份證件資訊，甚至要他們輸入生 物特徵數據，例如拍攝多角度的面部照片或影片等等。 在這過程當中，該木馬軟體甚至會給出「請低頭」、「請穩住相機」等提示，逼真程度相 當誇張，iOS、Android 應用程式都有類似的環節，目的在竊取受害者的生物辨識資訊。 一旦受害者輸入了他們的數據，木馬就會將其竊取並發送給攻擊者。攻擊者可以使用這些 數據來訪問受害者的銀行帳戶、進行欺詐交易甚至冒充受害者。 由於這個木馬能夠取得「用戶的生物辨識資訊」以及「身份證件資訊」，攔截「OTP 驗證 簡訊」，駭客會利用 Deepfake 深偽技術，來製造出受害者的虛擬臉部，用它來順利通過 銀行軟體的面部認證。 Group-IB 提到，GoldDigger 似乎側重於竊取銀行憑證，而 GoldPickaxe 則更側重於竊 取用戶的深度個資。 GoldDigger 以及 GoldPickaxe 是如何讓用戶安裝上木馬的？ 如同前面提到的，一切都是從用戶點擊了偽裝成政府單位、銀行單位所提供的惡意網址開 始，這是全部的起點。 Android 用戶，會被引導安裝 .apk 檔案，將偽造的政府應用程式安裝進去手機裏面。 iOS 用戶由於 App Store 的封閉性，要讓用戶上當安裝木馬軟體並不容易。駭客起先是 利用 Test Flight 測試平台，但後來發現難度太高，於是轉向說服蘋果用戶自願安裝 MDM（Mobile Device Management，智慧型手機自動化管理系統），將手機的全部控制權 都交給駭客。 是的沒錯，駭客根本無需破解蘋果 iOS 系統，也沒有利用任何漏洞，一切都是「用戶自 願」上當的。 MDM 對於許多人來說可能並不陌生，它廣泛被利用在「公司手機」、「國軍手機」上頭。 例如男生當兵要進軍營的時候，會被要求必須安裝 MDM，安裝後系統就會限制住手機的拍 照、熱點、藍牙傳輸等功能，以此避免機密資訊的外洩。 而駭客就是利用一樣的機制，想辦法說服蘋果用戶主動安裝 MDM，將手機的控制權直接交 給駭客。這過程有可能是透過真人或 AI 的社群軟體互動，讓用戶在交談的過程中相信對 方，並且按照教學主動安裝，如上圖就是駭客提供的教學。 其實這操作流程並沒有很直覺，但是用戶一旦真的上當了，就會盡力按照駭客的教學，想 辦法把自己給賣掉。 Android 用戶，會被引導安裝 .apk 檔案，將偽造的政府應用程式安裝進去手機裏面。 iOS 用戶由於 App Store 的封閉性，要讓用戶上當安裝木馬軟體並不容易。駭客起先是 利用 Test Flight 測試平台，但後來發現難度太高，於是轉向說服蘋果用戶自願安裝 MDM（Mobile Device Management，智慧型手機自動化管理系統），將手機的全部控制權 都交給駭客。 是的沒錯，駭客根本無需破解蘋果 iOS 系統，也沒有利用任何漏洞，一切都是「用戶自 願」上當的。 MDM 對於許多人來說可能並不陌生，它廣泛被利用在「公司手機」、「國軍手機」上頭。 例如男生當兵要進軍營的時候，會被要求必須安裝 MDM，安裝後系統就會限制住手機的拍 照、熱點、藍牙傳輸等功能，以此避免機密資訊的外洩。 而駭客就是利用一樣的機制，想辦法說服蘋果用戶主動安裝 MDM，將手機的控制權直接交 給駭客。這過程有可能是透過真人或 AI 的社群軟體互動，讓用戶在交談的過程中相信對 方，並且按照教學主動安裝，如上圖就是駭客提供的教學。 其實這操作流程並沒有很直覺，但是用戶一旦真的上當了，就會盡力按照駭客的教學，想 辦法把自己給賣掉。 用戶可以如何防範這類木馬、惡意軟體的傷害？ 對用戶來說，有幾個做法可以最大程度的避開風險： 不要點擊簡訊上的任何可疑網址 不要點擊社交軟體上別人傳來的任何可疑網址 承上，就算傳送對象是親人朋友也一樣，因為你不知道他是不是已經先被駭客入侵了 不要在任何「http」開頭的網頁上輸入任何資料（現在正規網站至少都是「https」開頭 了） 要學會看「網址的正確性」，這個相當重要：假設對方自稱中華電信員工，傳過來的網址 卻不是「cht.com.tw」開頭的，那就相當可疑 不要安裝來路不明的任何檔案 不要安裝任何來路不明的 MDM 描述檔案 養成隨時隨地懷疑網路資訊真實性的習慣，有疑問時不妨在 Google 上搜尋看看 為什麼 GoldDigger 以及 GoldPickaxe 這麼讓人害怕？ 必須說，這一次駭客的侵略範圍觸及最多年輕人使用的 iOS 系統，以及現在被廣泛運用 的生物特徵辨識系統，讓很多人感到相當不安。 連你的生物特徵資訊（例如臉部特徵）都被駭客複製下來了，你密碼被別人知道了還能改 密碼，你的臉部特徵被複製了，難道要去整形嗎？ 因此，用戶在第一時間避開木馬、避免點擊惡意網址、避免安裝惡意應用程式，以及避免 安裝來路部門的 MDM 描述檔，是重中之重。數位時代雖然充滿著機會，卻也同時充斥著 危機，網際網路是一個人吃人的噩夜叢林，不是什麼天堂樂土，無時無刻都要小心，駭客 正在虎視眈眈啊。 5.心得/評論：內容須超過繁體中文30字(不含標點符號)。 其實從生物辨識系統出來,要取代密碼的時候,這個隱憂就存在了: 如果你的指紋, 你的臉, 你的靜脈特徵被駭客拿走了, 那就真的完蛋了 ... 因為密碼可以改, 但是你的身體特徵不能改, 駭客一旦得到了, 你的這個特徵就終生失效 這個害怕, 正在逐漸成為現實, 而且不只是 Android 用戶受影響, iOS 也逃不掉! -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.195.202.146 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1708176093.A.309.html