日前,网络安全公司 Group-IB 发布新报告,有证据表明已经有黑客针对 iPhone 用户发起银行木马攻击,这是苹果手机首次面临这方面的安全考验。
对此,微博百万粉丝大V博主@少年伯爵 发文科普了这个木马是如何攻击ios用户的↓
具体过程如图1到图3所示——最早是2023年10月份左右开始攻击苹果iOS (iPhone) 用户,通过聊天软件等网络钓鱼或短信邮件来接触受害者,这些邮件是用当地语言编写的,冒充政府机构或服务机构。
![](http://dingyue.ws.126.net/2024/0217/8e6df7a8j00s9055m00a1d000of00mop.jpg)
打开网易新闻 查看精彩图片
这些消息试图诱骗他们安装欺诈性应用程序,例如在冒充正规政府网站上托管的虚假“数字养老金”应用程序。
紧接着,不法分子通过TestFlight URL来安装恶意木马应用程序,从而使它们能够绕过正常的安全审查流程。
当苹果删除TestFlight应用程序时,攻击者转而引诱目标下载恶意移动设备管理 (MDM) 配置文件,该配置文件允许威胁行为者控制设备。
![](http://dingyue.ws.126.net/2024/0217/6820c083j00s9055m006jd000mf00gkp.jpg)
打开网易新闻 查看精彩图片
一旦该木马以虚假政府应用程序的形式安装到移动设备上,它就会半自主地运行,在后台操纵功能,如图3拍摄受害者的面部,拦截接收到的短信验证码,请求身份证件,并通过代理网络流量。使用“MicroSocks”的受感染设备。
![](http://dingyue.ws.126.net/2024/0217/f98e64b5j00s9056i00afd000lz00bmp.jpg)
打开网易新闻 查看精彩图片
在iOS设备上,恶意软件会建立一个Web套接字通道来接收以下命令:
Heartbeat:ping 命令和控制(C2)服务器
init:发送设备信息到C2
upload_idcard:要求受害者拍摄身份证照片
脸部:要求受害者拍摄脸部视频
升级:显示虚假的“设备正在使用”消息以防止中断
相册:同步照片库日期(渗出到云存储器)
again_upload:重试将受害者的面部视频渗漏到存储器中
destroy:停止木马
执行上述命令的结果通过HTTP请求传回C2。
更离谱的是——这些生物面部识别数据随后会被用于创建人工智能 Deepfake,以冒充受害者并访问他们的银行账户——泰国和越南已经中招。
苹果用户朋友们,一定要切记——只从AppStore里下载安装APP,其他渠道的一概不碰。
因为其他渠道配置安装的APP,风险极大,比如这次的银行木马,有可能就会通过盗取面部识别+短信验证码来卷走受害者的银子。
请大家参阅,注意安全。
热门跟贴