2023年10月,IB组研究人员发布了一份关于以前未知的 Android 木马的报告特别针对越南50多家金融机构。我们将其命名为GoldDigger,因为APK 中包含一个名为GoldActivity的活动。在最初发现该特洛伊木马之后,Group-IB 的威胁情报该部门一直在持续监控这一不断演变的威胁,并发现了一整群积极针对亚太地区 (APAC)的攻击性银行木马。
在这些发现中,有一个异常罕见的现象——一种专门针对 iOS 用户的新型复杂移动木马,被 Group-IB称为GoldPickaxe.iOS。 GoldPickaxe 系列包括 iOS 和 Android 版本,基于 GoldDigger Android 木马,并定期进行更新,旨在增强其功能并逃避检测。 Group-IB 研究人员发现, GoldPickaxe.iOS能够收集面部识别数据、身份证件并拦截短信。它的 Android 兄弟具有相同的功能,但还表现出 Android 木马的其他典型功能。为了利用被盗的生物识别数据,威胁行为者利用人工智能驱动的换脸服务来创建深度伪造品。这些数据与身份证件和拦截短信的能力相结合,使网络犯罪分子能够未经授权访问受害者的银行账户——这是一种新型的货币盗窃技术,Group-IB 研究人员以前在其他欺诈计划中从未见过。
新确定的GoldPickaxe.iOS采用了值得注意的分发方案。威胁行为者最初利用苹果的移动应用程序测试平台TestFlight来分发恶意软件。从 TestFlight 中删除其恶意应用程序后,威胁行为者采用了更复杂的方法。他们采用了多阶段社会工程计划来说服受害者安装移动设备管理(MDM)配置文件。这使得威胁行为者能够完全控制受害者的设备。
Group-IB 将整个威胁集群归因于一个代号为GoldFactory 的威胁参与者,该威胁参与者开发了一套复杂的移动银行恶意软件。
这种恶意活动的受害者主要位于亚太地区。虽然目前的证据表明,GoldFactory 特别关注两个亚太国家,但有新的迹象表明,GoldFactory 的业务地域可能会扩展到越南和泰国以外的地区。 Group-IB 向被 GoldFactory 木马冒充的品牌发送了通知。
在这篇博客中,Group-IB 研究人员研究了 GoldFactory 构成的威胁的详细信息,并阐明了它与其他 Android 恶意软件家族不断变化的关系,例如吉加布德。该分析提供了有关网络威胁格局的性质和范围的宝贵见解,有助于我们不断努力提高网络安全意识和弹性。该博客包括一个Group-IB 欺诈矩阵,其中包含分类特征和策略以及相关的妥协指标 (IOC)。
主要发现
- Group-IB 的威胁情报部门发现了一个以前未知的 iOS 木马GoldPickaxe.iOS,该木马会收集身份证明文件、短信和面部识别数据。
- GoldPickaxe 系列适用于iOS和Android平台。
- GoldFactory开发的这套复杂木马自2023 年中期以来一直活跃。
- GoldFactory被认为是一个组织严密的中文网络犯罪组织,与Gigabud关系密切。
- 社会工程是整个 GoldFactory 特洛伊木马家族向受害者设备传送恶意软件的主要方法。
- GoldPickaxe.iOS通过Apple 的 TestFlight或通过社会工程受害者安装MDM 配置文件进行分发。
- GoldPickaxe 木马收集人脸资料、身份证件并拦截短信。为了利用从 iOS 和 Android 用户处窃取的生物识别数据,威胁行为者使用人工智能换脸服务创建深度伪造品,将他们的脸替换为受害者的脸。网络犯罪分子可以利用这种方法未经授权访问受害者的银行账户。
- GoldFactory开发的木马的受害者位于越南和泰国。
- 在发布有关 GoldDigger 的初步报告后,Group-IB 的研究人员发现了一种名为GoldDiggerPlus 的新恶意软件变种。
- GoldDiggerPlus扩展了GoldDigger的功能,并使威胁行为者能够实时呼叫受害者。
- 它是通过专门设计的 APK(由 Group-IB 称为GoldKefu)来实现的。当受害者点击联系客户服务按钮虚假警报时,GoldKefu 会检查当前时间是否在网络犯罪分子设定的工作时间内。如果是这样,恶意软件将尝试寻找免费的运营商来拨打电话。这就好像网络犯罪分子正在运营一个真正的客户服务中心。
- 本报告中发现的所有木马都处于活跃的进化阶段。
介绍
我们通过揭露以下内容开始对 GoldFactory 组织的活动进行调查:GoldDigger恶意软件的第一个已知版本,专门针对越南50多个与银行、电子钱包和加密钱包相关的应用程序。
图 1. 第一个 GoldDigger 变体的恶意软件配置文件
由于我们怀疑这是亚太地区日益严重的威胁,我们立即向有关部门发出警报IB 集团欺诈保护团队保护我们的客户免受已识别的恶意软件威胁。
继 2023 年 10 月发布初步报告后,Group-IB 研究人员发现了该木马的一个新变种——GoldDiggerPlus,该变种删除了目标应用程序列表,但在 Group-IB 名为 GoldKefu 的嵌入式恶意软件中包含了 10 个网络假冒的精简列表。 IB。我们认为,这样做可能会隐藏目标组织和国家,从而提高犯罪活动的有效性。
我们之前的分析表明,GoldDigger 的扩张将扩展到亚太地区的其他国家——这一假设被证明是准确的。在不到一个月的时间里,Group-IB 的威胁情报部门发现了一种针对泰国iOS 平台受害者的新恶意软件变体,随后被 Group-IB 命名为GoldPickaxe.iOS。除了 iOS 木马之外,Group-IB 团队还发现了GoldPickaxe 的Android版本,名为 GoldPickaxe.Android。
总体而言,我们确定了网络犯罪分子使用的四个特洛伊木马家族。我们通过使用新发现的恶意软件的前缀Gold作为命名约定,作为它们是由同一威胁参与者开发的象征性表示。
图 2. GoldFactory 木马演变的时间线
下面的列表对每个内容进行了简要介绍:
- GoldDigger是经典的 Android 银行木马,它滥用辅助功能服务并授予网络犯罪分子对设备的控制权
- GoldDiggerPlus也是一款 Android 恶意软件,扩展了 GoldDigger 的功能
- GoldKefu是GoldDiggerPlus中的一种嵌入式木马,包含网络假冒内容,并可实时向受害者拨打语音电话
- GoldPickaxe是一款针对 iOS 和 Android 平台设计的木马。 GoldPickaxe 用于收集和窃取受害者的个人信息以及生物识别数据。
2023 年 3 月,泰国央行指示银行在进行 50,000 泰铢(约 1,430 美元)或以上的交易时,使用面部生物识别验证来确认身份,而不是使用一次性密码;每天转账超过20万泰铢;或者将移动设备上的信用转账限额提高到每笔交易 50,000 泰铢以上。
GoldPickaxe 最有可能也到达了越南海岸。 2024 年 2 月,有消息称一名越南公民成为恶意移动应用程序的受害者。该个人执行了应用程序请求的操作,包括执行面部识别扫描。结果,网络犯罪分子提取了相当于4 万多美元的资金。目前,我们没有任何证据表明 GoldPickaxe 在越南有分布。然而,根据新闻中提到的进行面部扫描的独特功能,再加上GoldFactory在该地区活跃的事实,我们怀疑他们可能已经开始在越南使用GoldPickaxe。我们预计越南很快就会出现更多 GoldPickaxe 实例越南国家银行 (SBV) 概述了强制使用面部认证的计划作为 2024 年 4 月起所有汇款的安全措施。
图 3. 通过生物特征验证授权的合法银行交易流程
我们的研究揭示了 GoldFactory 网络犯罪活动的许多方面。在调查的现阶段,尚未发现涉案工具的销售情况。因此,很难说这些恶意工具是专门为一组网络犯罪分子使用而开发的,还是将来在网络犯罪地下组织中进一步传播的。然而,我们相信货币的开发、分配和盗窃背后有很多人,因为他们是高度组织化的。因此,在研究时,我们将所有这些活动归因于一个被我们称为GoldFactory 的小组。本报告的重点将放在技术方面以及在针对个人的攻击中发现的工具的使用。
图 4. 威胁参与者概况:GoldFactory
从点击到硬币矿井。感染链
在本节中,我们将了解 GoldFactory 用来危害受害者手机的方法。由于网络犯罪分子小心翼翼地删除其活动的所有证据,整个感染链仍然模糊不清。但通过对公开信息、内部数据以及我们的调查结果等多种来源的彻底检查,我们成功地重建了感染链。
GoldFactory 团伙结合使用网络钓鱼和网络钓鱼技术来实施恶意活动。我们目前的监控已成功识别出GoldFactory恶意工具在越南和泰国的使用情况。我们非常有信心开发人员会说中文。然而,有迹象表明当地网络犯罪分子也参与其中,犯罪分子打电话给受害者的例子就证明了这一点。虽然没有直接证据表明在这些通话中使用了当地语言,但说当地语言对于与受害者建立信任和信心至关重要。因此,我们假设 GoldFactory 可能会聘请精通泰语和越南语的操作员,甚至可能运营一个呼叫中心。您可以在本博客的GoldFactory 网络安全富矿:新淘金热部分中找到有关 GoldFactory 小组的组成以及小组成员所使用的语言的更多详细信息。
我们还发现了一个在网络钓鱼活动中使用的用泰语编写的短信示例。该证据表明存在由来自不同国家的个人组成的多元化网络犯罪团伙,或使用本地服务向受害者的设备分发恶意软件。在此阶段,我们保持谨慎态度,避免得出任何明确的结论。
我们根据最近发现的 GoldPickaxe 变种的传递情况检查了感染链。然而,GoldFactory 家族中的其他木马的感染链并没有显着不同。
在泰国的环境中,网络犯罪分子冒充政府当局并说服受害者使用该国最受欢迎的消息应用程序之一LINE 。要开始对话,LINE 用户必须添加另一个人为好友。
图 5. GoldPickaxe 木马对设备的最初攻击
根据泰国银行业计算机紧急响应小组 (TB-CERT) 的数据,通过Messenger分发恶意链接以鼓励安装该应用程序。然后,受害者被引诱进入一个冒充“数字养老金”应用程序的欺诈性应用程序,据称使他们能够以数字方式领取养老金。 TB-CERT 警报中最令人担忧的一点是,网络犯罪分子拥有有关受害者的可靠个人信息,这增加了他们的欺诈策略的说服力。
Group-IB 的调查结果可以证实 TB-CERT 的警报,该调查发现了 GoldPickaxe 的多个版本,所有版本都具有相同的功能,但伪装成不同的泰国官方政府服务。我们发现 GoldFactory 的恶意活动涉及模仿合法的政府应用程序,例如 泰国数字养老金、其他泰国政府服务以及越南政府信息门户。值得注意的是,GoldPickaxe 冒充的其他应用程序确实与Group-IB 研究人员描述的 Gigabud 恶意软件2023 年 8 月。我们稍后将在博客中讨论 GoldFactory 和 Gigabud 之间的重叠。
图 6. GoldFactory 木马冒充泰国应用程序的虚假登录屏幕示例
下面的截图显示了一条声称提供电费退税的虚假消息。一旦收件人打开链接,他们就会被重定向到 LINE,将网络犯罪分子添加为好友。在 LINE Messenger 中,网络犯罪分子随后开始实施社交工程策略,说服他们遵循必要的步骤并安装恶意应用程序。然而,由于网络犯罪分子清除了受感染设备上的聊天记录,因此无法检索任何消息。
图 7. GoldFactory 发送的垃圾邮件示例
正如我们在之前的博客中讨论的那样,GoldDigger 在越南通过冒充 Google Play 商店页面或虚假公司网站的虚假网站进行传播,以便成功将其自身安装在受害者的设备上。 GoldDiggerPlus 和 GoldPickaxe.Android 使用类似的方案进行分发。
图 8. 用于传送 GoldPickaxe.Android 的虚假 Google Play 网站
GoldPickaxe.iOS有不同的分发方案。苹果拥有精心设计的系统,旨在防止威胁行为者通过其商店传播恶意软件。然而,网络犯罪分子巧妙地利用了某些最初旨在改善用户体验的功能。
网络安全研究人员已经记录了这种性质的欺诈计划。一个值得注意的例子是CryptoRAM 活动,网络犯罪分子利用苹果的试飞平台分发虚假的加密货币应用程序。 TestFlight 是开发人员在 App Store 正式发布之前分发和测试其 iOS 应用程序的工具。该平台提供多种测试方法,并允许开发者邀请用户测试他们的应用程序。
另一种策略涉及通过移动设备管理 (MDM)操作 Apple 设备。 MDM 是一种全面的集中式解决方案,用于管理和保护组织内的移动设备(例如智能手机和平板电脑)。 MDM 的主要目标是简化设备管理任务、增强安全性、确保遵守组织策略并部署应用程序。内苹果生态系统, MDM 允许通过向设备发送配置文件和命令来无线配置设备。
GoldFactory 已成功地使用这两种策略来分发自己的 iOS 木马。当 TestFlight 被滥用时,受害者会收到看似无辜的 URL,例如https://testflight.apple.com/join/<ID>。由于这些 URL 带有 Apple 域,因此用户通常认为它们是值得信赖的。不幸的是,这种错误的信任导致用户安装看似合法的软件,从而在不知不觉中使他们的设备面临恶意威胁。
GoldFactory 使用的一种更复杂的方法是操纵受害者与欺诈网站交互以安装 MDM 配置文件。受害者被诱骗访问以下 URL,这些 URL 会将他们重定向到这些由威胁行为者控制的欺诈网站。感染过程需要用户采取不寻常的步骤,例如安装 MDM 配置文件——这是一个本质上可疑的步骤。尽管其复杂性,但如果成功,这种方法将使网络犯罪分子完全控制受害者的设备。下面我们将了解 GoldFactory 将 GoldPickaxe.iOS 植入受害者设备的复杂方案的各个方面。
图 9. GoldPickaxe.iOS 如何感染 iOS 设备的方案
如上所述,GoldFactory 利用 TestFlight 来利用毫无戒心的用户的方法之一。值得注意的是,TestFlight 不仅用于测试目的,还用于多种情况,例如当用户难以安装来自各自国家的应用程序时绕过区域限制。 TestFlight 的简单性和成本效益使其成为网络犯罪分子的一个有吸引力的选择。如果恶意应用程序被阻止,网络犯罪分子可以使用替代开发者帐户轻松重新上传该应用程序。他们还可以使用提供类似功能的服务,从而提供一种将应用程序上传到 TestFlight 的方法,而不会遇到重大障碍。这种适应性凸显了网络犯罪分子使用 TestFlight 作为恶意活动工具的敏捷性和恢复能力。
值得注意的是,GoldFactory 在其恶意活动的早期阶段就使用了 TestFlight 方法。然而,当网络犯罪分子转而使用 MDM 时,他们发生了战略转变。
我们将这一转变归因于上传到 TestFlight 的应用程序将提交给 Apple 审核流程的认识。由于在撰写本文时,GoldPickaxe.iOS 木马在 TestFlight 中无法访问,因此 Apple 的审查很可能已识别出 GoldPickaxe.iOS 恶意软件,从而采取了阻止措施。因此,网络犯罪分子调整了其分布并选择了 MDM 方法来规避与 TestFlight 相关的严格控制,并继续进行非法活动。 Group-IB 向 Apple 发出了有关 GoldFactory 的活动的通知。
图 10. TestFlight 中虚假应用程序的描述(在撰写本文时 TestFlight 中不可用)
我们持续监控 GoldFactory 的活动,不久之后,我们注意到感染链的变化。我们开始检测旨在下载 MDM 配置文件的欺诈域名。来自以下机构的警报也证实了我们的发现泰国网络警察。 2023 年 11 月,一些个人成为了网络犯罪分子冒充财政部官员的骗局的目标。据泰国警方称,犯罪分子声称目标的老年亲属有资格获得额外的养老金福利。然后,受害者点击犯罪分子网站的链接来下载MDM配置文件设置,这将使犯罪分子能够远程管理受害者的移动设备。
在这些欺诈网站上,网络犯罪分子提供了有关如何安装恶意应用程序的完整说明。说明以泰语书写,如下所示。我们已经简要描述了受害者打开收到的 URL 时会发生什么:
- 受害者打开该 URL。
- 系统注意到该网站正在尝试下载配置文件并请求安装它的权限。
- 之后,受害者必须按下按钮,表明他们信任此配置。
- Safari 会自动打开该 URL。
- 最后,该网站要求受害者授权安装该木马。
图 11. 为网络犯罪分子网站上找到的受害者安装 MDM 配置文件的指南示例(目前不活动)
一旦安装此配置文件,网络犯罪分子就会获得对设备的未经授权的控制。移动设备管理提供了广泛的功能,例如远程擦除、设备跟踪和应用程序管理,网络犯罪分子利用这些功能来安装恶意应用程序并获取他们所需的信息。
图 12. GoldFactory 受害者安装的 MDM 配置文件示例
作为 MDM 滥用计划的一部分安装的 GoldPickaxe.iOS 木马将自己伪装成泰国政府服务应用程序。
图 13. 伪装成泰国政府服务应用程序的 GoldPickaxe.iOS 木马的登录页面
到目前为止,我们已经抽象地介绍了欺诈方案,现在我们将在下面详细讨论该恶意软件的特征。
GoldFactory 针对 iOS 和 Android 移动操作系统,绕过最严格的安全控制和严格的过滤。与所有 Android 木马一样,威胁行为者会诱骗用户安装和打开恶意应用程序,我们在上面详细讨论了这一点。然后受害者只需要向恶意软件提供必要的权限即可。一旦获得这些权限,GoldFactory 的复杂木马套件几乎可以自主运行,在受害者不知情的情况下操纵他们的设备。 GoldFactory 的 Android 木马通过滥用辅助服务来获取屏幕内容信息,并显示模仿合法银行界面的虚假 Web 表单以捕获用户的凭据。这甚至会绕过双因素身份验证(2FA)。
鉴于最近的事态发展,有必要强调泰国的新政策,该政策要求用户使用面部识别来确认较大的交易。这一额外的安全措施旨在保护用户免受欺诈活动的侵害。
然而,GoldFactory 已经学会了如何绕过这些限制,并开发了高度复杂的恶意软件系列。 GoldPickaxe 会提示受害者录制视频,作为虚假应用程序中的确认方法。然后,录制的视频将被用作通过换脸人工智能服务创建深度伪造视频的原材料。
适用于 iOS 和 Android 平台的 GoldPickaxe 木马具有额外的功能,例如请求受害者的身份证件、拦截短信以及通过受害者的受感染设备代理流量。这些功能将在下一节中详细介绍。
GoldPickaxe 不会直接通过受害者的手机执行未经授权的交易。相反,它从受害者那里收集所有必要的信息,以自主访问受害者的银行应用程序。
人脸识别正在主动进行泰国金融机构使用用于交易验证和登录验证。因此,GoldPickaxe 的面部识别视频捕获功能与拦截短信和获取身份证件照片的功能相结合,为网络犯罪分子提供了未经授权访问银行账户的机会。尽管如此,我们还没有观察到网络犯罪分子利用这些被盗数据未经授权访问受害者银行账户的案例。
我们假设网络犯罪分子正在使用自己的设备登录银行账户。这泰国警方证实这一假设表明,网络犯罪分子正在自己的 Android 设备上安装银行应用程序,并使用捕获的面部扫描绕过面部识别检查,以对受害者的帐户进行未经授权的访问。
图 14. GoldPickaxe 木马如何从受害者设备中提取资金的方案
倾听是金:分析GoldFactory开发的木马技术能力
在本节中,我们将了解 GoldFactory 使用的新识别的移动木马的技术方面。目前,我们已将这些木马分为两个主要系列:GoldPickaxe和GoldDigger(及其更新版本GoldDiggerPlus)。 GoldPickaxe 有两种不同的变体——iOS 和 Android——而 GoldDigger 专门针对 Android 设备,呈现三种不同的变体。
尽管 GoldPickaxe 和 GoldDigger 共享共同的代码,但 GoldPickaxe 的主要目标有所不同,它侧重于收集受害者的个人信息,而 GoldDigger 则侧重于银行凭证。 GoldPickaxe 具有捕获受害者面部视频、窃取身份文件以及通过受害者手机代理流量等功能。相反,GoldDigger 是专门为窃取银行凭证而设计的。
对 GoldDigger 系列中的 Android 变体进行分析具有挑战性,因为观察到的所有样本都包装在VirBox 加壳器中,这是针对静态和动态分析的高级保护层,需要额外的分析时间。相比之下,GoldPickaxe.iOS版本已解压且没有规避技术。操作员可以在控制阶段禁用其功能,这凸显了网络犯罪分子选择受害者的谨慎方式。
GoldPickaxe 和 GoldDigger 这两个木马家族都采用与命令和控制 (C2) 服务器的双重通信方法,同时利用 Websocket 和 HTTP。 Websocket 作为接收命令的通道,通常位于用于控制 Android 设备的端口8282和用于控制 iOS 设备的端口8383。然后,执行的结果通过 HTTP 传输到各自的 API 端点,主要用于从受感染的设备中窃取信息并报告执行命令的结果,所有命令均采用 JSON 格式。还值得注意的是,GoldPickaxe 和 GoldDiggerPlus 都将受感染设备的数据泄露到阿里巴巴云存储中。
在我们的研究过程中,我们得出结论,GoldFactory 的手机银行木马仍在不断发展。例如,Android 恶意软件包含未实现的处理程序或未使用的功能。因此,我们假设新版本将在不久的将来发布。现在让我们详细检查该特洛伊木马的每个版本,以充分了解其功能。
金镐家族
GoldPickaxe 系列可在iOS和Android 平台上使用。当 iOS 木马被发现时,我们认为它是针对 Android 的 GoldDigger 变种的修改。然而,由于苹果平台的限制,iOS 木马的功能与 Android 前身的功能并不匹配。尽管存在差异,但我们确认 iOS 木马是由与 GoldDigger 相同的威胁参与者开发的,原因如下:所选的通信机制以及使用相同的云存储桶 URL。最终,我们发现了一款为 Android 开发的类似应用程序,反映了 iOS 恶意软件的功能。因此,我们决定将其归类为与 GoldDigger 分开的新系列。
由于 iOS 平台的封闭性和 iOS 权限相对严格的性质,GoldPickaxe.iOS恶意软件与其 Android 兄弟相比表现出更少的功能。因此,iOS 版本的 GoldPickaxe 受到限制,因为 iOS 恶意软件很难达到与其 Android 同类软件相同水平的功能。
GoldPickaxe 的另一个功能是它创建一个SOCKS5 代理服务器并快速反向代理 (FRP)。为了集成用Go编写的 FRP 库,它利用了适用于 Android 和 iOS 的 Golang 移动绑定。这有助于将网络地址转换 (NAT) 或防火墙后面的本地服务器暴露给互联网。然后,所有流量都会通过同时启动的电话代理服务器进行重定向。我们假设攻击者按照以下步骤连接到受感染的手机,并使用设备的相同指纹绕过反欺诈措施进行交易。
GoldPickaxe 的两个版本都使用虚假登录页面,提示用户输入凭据以访问虚假数字养老金应用程序。目前尚不清楚网络犯罪分子会如何利用这些信息,但我们猜测这有助于他们避免被发现。通过查看输入的信息,他们大概可以确定该设备是属于真实用户还是安全研究人员。 Group-IB 研究人员认为,威胁行为者请求电话号码是为了获取有关受害者的更多详细信息,特别是寻找与受害者相关的银行账户信息。这使得威胁行为者能够在金钱盗窃阶段识别并安装特定的银行应用程序。Gigabud.RAT/Loan 使用了相同的策略。
图 15. iOS 和 Android 中冒充数字养老金的虚假应用程序的登录页面
金镐.iOS
如上所述,与 Android 版本相比, GoldPickaxe iOS 版本的功能有些有限。如果没有对其 Android 兄弟姐妹的广泛了解,将其归入该家族将是一项挑战。然而,我们仔细的分析表明,与 Android 版本相比,C2 服务器的通信方法、相同的凭据和共享 HTTP API 端点具有相似性。这些累积的指标明确地将其归因于 GoldPickaxe 恶意软件家族。在发现的恶意应用程序中,向受害者显示的所有消息都是用泰语编写的,因此,我们假设发现的应用程序针对的是泰国的受害者
该恶意软件的功能不仅限于从设备库中提取照片。该恶意软件还可以收集短信、捕获受害者的脸部,并通过受害者的设备代理网络流量。与它的 Android 兄弟一样,该恶意软件使用三种通信机制:用于接收命令的 Web 套接字、 用于传输执行命令结果的HTTP API以及用于信息泄露的与云存储桶的通信通道。此外,网络犯罪分子还可以要求提供其他信息,例如受害者身份证照片。
初始阶段涉及创建定期运行的重复任务。这些任务包括发送心跳来指示设备活动、验证应用程序权限、WiFi 连接状态以及 评估连接速度,后者是通过使用 PPSPing 库完成的。请求将发送至www.google.com,连接速度结果将发送至 C2 服务器。该指标可用于选择合适的渗透时间。
启动后,GoldPickaxe.iOS将尝试使用JetFire 库连接到 websocket 。该库用于实现可以在后台无阻塞通信的 websocket 客户端。如果连接成功,它将在本地主机 ( 127.0.0.1:1081 ) 上启动SOCKS5 服务器。为了实现代理功能,他们使用了 GitHub 上提供的轻量级项目 – MicroSocks。同时启动反向代理以启用连接。在开始之前,GoldPickaxe 会发出 HTTP 请求以获取代理服务器配置。服务器配置存储在电话上Documents 文件夹中名为newconfig.ini的文件中。然后,受感染的手机会收到包含受欺诈控制的服务器地址的配置。它使用以下模板,该模板可在 IPA 文件中找到。
Xmind是一款非常实用的商业思维导图软件,应用全球最先进的Eclipse RCP 软件架构,全力打造易用、高效的可视化思维软件。致力于使用先进的软件技术帮助用户真正意义上提高生产率。