引言
2024年2月,Group-IB发现了复杂的移动威胁活动,这些活动显示了银行恶意软件在亚太地区的快速演变。对这一持续演变的威胁进行的持续监测揭示了一波针对iOS和Android用户的激进移动木马浪潮,所有活动均由一个被称为“黄金工厂”(GoldFactory)的单一威胁行为者操控。自发布初步报告以来,我们持续监控该组织的活动,我们最新的研究揭示了网络犯罪分子在其战术和工具方面的演变。
本博文分享了Group-IB关于GoldFactory活动的最新发现,并重点介绍了其行动如何持续扩大规模和复杂性。该分析为了解当前网络威胁格局的范围和复杂性提供了宝贵的见解,并支持提升网络安全意识和韧性的持续努力。为了帮助组织理解和应对这些攻击,我们还展示了Group-IB欺诈矩阵,该矩阵概述了关键战术、特征和相关入侵指标(IOC)。
关键发现
- 网络犯罪分子冒充政府服务以获取受害者信任并感染其设备。
- 发现了27个被注入恶意功能的原始银行应用程序列表。
- 发现被感染的应用程序针对印度尼西亚、越南和泰国的用户。
- 网络犯罪分子使用公开可用的框架(如Frida、Dobby和Pine)来拦截和修改原始应用程序的行为。修改后的版本分别被Group-IB威胁情报团队命名为FriHook、SkyHook和PineHook。
- 新Gigabud变体的预发布测试版本(被Group-IB研究人员称为“Gigaflower”)揭示了经过改进的代码库,具有实验性功能,例如用于身份证图像的文字识别和二维码扫描。
- 网络犯罪分子使用Gigabud、Remo、MMRat和Gigaflower来安装受感染的银行应用程序。
- 使用Group-IB欺诈防护,识别了亚太国家数千个真实的设备感染。
威胁行为者概况:GoldFactory
Group-IB客户可以通过我们的威胁情报门户获取关于GoldFactory和其他恶意软件配置文件的详细信息。
战略背景
Group-IB研究人员于2024年10月开始检测到修改过的银行应用程序,首批案例出现在泰国。到2024年底和2025年初,我们的监测显示越南出现了类似的威胁。从2025年中开始,我们观察到印度尼西亚的感染显著增加。Group-IB欺诈防护已识别出300多个独特的修改银行应用程序样本,以及印度尼西亚约2200次感染。我们的分析还发现了超过3000个相关的额外恶意样本,导致了超过11000次感染。所有样本在多大程度上属于同一活动仍在调查中。
图1. 相关恶意样本的出现情况。
图2. 修改版银行应用程序的出现情况。
我们总共观察到了数十个修改版银行应用程序,并确定了30家目标金融机构。其中大多数总部设在印度尼西亚。然而,我们认为受影响的银行实际数量可能更高。这种差异可能是由于可见性有限以及检测此类威胁的困难所致。
图3. 受影响银行的地理分布。
最初,我们发现受感染的银行应用程序是通过名为Gigabud的知名木马分发的。进一步调查显示,在初始入侵阶段也使用了其他木马,如Remo和MMRat。网络犯罪分子不断改进其网络钓鱼方法以获取受害者信任。特别是GoldFactory团伙,它依赖短信钓鱼、语音钓鱼和网络钓鱼技术的组合来实施其恶意操作。
感染链
攻击者最初通过即时通讯应用程序与受害者建立联系,然后转为电话通话以提供进一步指示。我们还观察到他们针对iOS用户的战术发生了变化。攻击者不再部署定制的iOS木马,而是指示受害者从家人或亲戚那里借用Android设备以继续该过程。这标志着杀伤链的一个明显转变,因为之前的活动包括专门的iOS恶意软件。虽然这一变化的确切原因尚不清楚,但我们适度地认为,可能是由于iOS平台更严格的安全措施和应用商店审核。
图4. GoldFactory活动的最新感染链。
初始入侵
本节概述了GoldFactory用于入侵受害者移动设备的技术。该组织会仔细清除其活动痕迹。然而,通过彻底检查多个来源,包括社交媒体帖子中的公共信息、内部数据以及调查期间收集的证据,我们成功重建了感染链。
如前所述,我们的分析表明GoldFactory主要针对越南和印度尼西亚的受害者。在越南,网络犯罪分子始终使用受信任的本地品牌和政府服务作为诱饵。这些包括冒充EVN(国家电力公司)、省级卫生部门、国家公共服务门户网站以及公安部。其目的是显得可信并降低受害者的怀疑。下面的案例研究显示了攻击者如何获取初始访问向量,以及我们在调查的几个事件中恢复的线索。
在第一个例子中,诈骗者冒充EVN员工通过电话联系受害者,声称电费账单逾期。在通话中,受害者被告知在Zalo(越南广泛使用的即时通讯应用程序)上加诈骗者为好友,以接收下载移动应用程序的进一步指示。诈骗者随后警告说,如果不按照指示安装应用程序并关联其账户,将立即暂停受害者的电力服务。这种策略利用恐惧和紧迫感迫使受害者就范。
图5. 诈骗者用于欺骗受害者的Zalo消息截图。(来源:facebook.com 翻译自越南语)
网络犯罪分子随后向受害者发送一个链接,该链接看起来像一个合法的Google Play页面,但实际上是一个APK文件。下载完成后,该应用程序会提示受害者在其设备上启用所有必要权限。
图6. 托管恶意APK的假冒Google Play EVN网站。
在另一个例子中,该团伙利用社会工程策略针对餐饮企业主。诈骗者冒充卫生部门的官员致电企业主,然后要求通过社交媒体平台Zalo联系。他们声称,卫生部门的一个检查组很快将到访监督食品安全和卫生合规情况。
建立联系后,诈骗者通过Zalo发送伪造文件,冒充据称由卫生部门签发的官方通知和决定。这些文件包括关于在该市成立食品经营场所检查和监督小组的虚假公告。
为了增加可信度,犯罪分子精心复制了合法政府文件的格式和样式——复制官方模板、印章和签名,以制作旨在欺骗企业主的令人信服的伪造文件。
然后,受害者被指示访问恶意网站下载应用程序并提交其信息。
图7. 冒充卫生部门的伪造信件示例。原始媒体报道链接 图8. 托管恶意APK的假冒卫生部门网站。
继在越南观察到的活动之后,在印度尼西亚也发现了类似活动,威胁行为者根据当地政府服务调整了其社会工程诱饵。在这种情况下,诈骗者冒充Disdukcapil(人口与民事登记局)的官员,利用公众对政府推广Digital KTP(数字身份证)的认识。
网络犯罪分子通过电话联系受害者,冒充民事登记部门的代表,并声称所有公民都必须立即将其物理身份证升级为“Digital KTP”。
图9. 冒充Disdukcapil代表联系受害者时使用的电话号码示例。原始媒体报道链接
在这些通话中,网络犯罪分子强调升级是强制性的,并敦促受害者立即完成该流程以避免行政处罚。然后,受害者被指示下载一个名为“IKD Kependudukan”的应用程序,该程序被宣传为官方注册工具。
图10. Group-IB欺诈防护显示侧载应用程序的安装情况。
当通过Google Play商店安装失败或显示“不兼容”时,受害者会被重定向到外部网站侧载恶意APK。
图11. 托管恶意APK的假冒“Identitas Kependudukan Digital”页面。
如前所述,来自Group-IB欺诈防护的遥测数据识别了数千台受感染设备。对其中几台设备事件的详细审查显示,恶意应用程序的初始启动与随后的可疑活动之间存在很强的关联性。在某些设备上检测到活跃的VoIP通话信号,证实了它们参与了之前描述的社会工程策略。此外,在其他设备上观察到了活跃屏幕捕获的迹象。
图12. 其中一台受感染设备的感染链时间线演示。
Group-IB欺诈防护遥测数据证实了分为两个阶段的感染过程。攻击者首先部署远程访问木马(即Gigabud、Remo和MMRat)作为投放器。随后安装SkyHook样本。然后启用无障碍服务以支持远程控制。
图13. Group-IB欺诈防护平台中受害者手机上的可疑事件演示。
威胁情报
在追踪这些修改版银行应用程序的来源时,一个案例显示恶意应用程序是在Gigabud已安装后交付的。我们随后的调查确定了这些托管在2个具有开放目录的域上的恶意应用程序:ykkadm[.]icu 和 dgpyynxzb[.]com。大约在同一时间,Domaintools的研究人员也发布了托管这些应用程序的开放目录。
使用Group-IB Graph工具对这些开放目录的进一步分析揭示了更多相关指标,包括与Remo银行木马相关的熟悉子域。
图14. Group-IB Graph:ykkadm[.]icu的子域属于Remo。 图15. Group-IB Graph:开放目录域与Remo域之间的链接。
2025年初,Group-IB开始追踪Remo银行木马,该木马使用与GoldFactory相同的欺骗性策略进行分发。这些策略包括通过假冒Google Play页面和冒充知名政府应用程序的欺诈网站来引诱受害者。
图16. Remo的下载页面。 图17. Remo的虚假HTML登录页面。
在对一个钓鱼网站的调查中,我们识别出了一个类似于Gigabud木马的恶意软件样本。该样本随后被命名为Gigaflower。该网站使用亚马逊S3存储桶来托管和分发恶意二进制文件。该S3存储桶也是SkyHook二进制文件的确认为发站点。进一步调查还发现了另一个二级对象存储服务器,同时托管Remo和SkyHook银行木马。
图18. 存储桶中的恶意Android应用程序示例。
除了共享托管基础设施,我们的分析还发现了直接的代码重叠:包 com.cx.utils.FloatWindowUtils(一个通常与Gigabud关联的实用程序,用于跨各种手机型号进行动态窗口布局配置)也出现在Remo样本中。
图19. 重叠的包。
基于来自遥测和基础设施分析的证据,我们现在可以得出结论,SkyHook是作为初始被主要加载器(如Gigabud、Remo或MMRat)入侵后的次要有效载荷交付的。这整个操作链很可能归因于GoldFactory威胁组织。
恶意软件描述
此前,我们曾强调过这些操作背后的网络犯罪分子所展示的高水平技术专长。属于GoldFactory的恶意软件设计精良,通常使用高级加壳工具进行保护。因此,攻击者能够对合法银行应用程序进行逆向工程并修改其内部逻辑以达到自身目的也就不足为奇了。
本节中的恶意软件基于原始的移动银行应用程序。它通过仅将恶意代码注入应用程序的一部分来操作,从而允许原始应用程序保留其正常功能。注入的恶意模块的功能可能因目标而异,但主要是绕过原始应用程序的安全功能。
恶意组件先于原始应用程序启动,在此过程中它执行各种钩子(Hook)以改变应用程序的逻辑,然后将控制权交还给原始应用程序。因此,我们根据发现的修改版应用程序中使用的框架,将恶意软件家族聚类为三类:FriHook、SkyHook和PineHook。恶意模块的功能存在重叠,如下所示:
- 隐藏已启用无障碍服务的应用程序列表。
- 防止截屏检测。
- 伪造Android应用程序的签名。
- 隐藏安装来源。
- 实现自定义完整性令牌提供程序。
- 获取受害者账户余额。
让我们逐一了解每个恶意软件家族的样本。
FriHook
我们最初从客户那里收到了一个后来被命名为FriHook的修改版应用程序。该应用程序能够绕过完整性检查并隐藏受感染设备上的恶意活动。原始的合法银行应用程序被使用ELF依赖注入技术注入了frida gadget。这是移动应用程序研究人员常用的技术。libfy.so(frida gadget)已被添加为APK中嵌入的某个原生库(在本例中是合法应用程序使用的libdexprotector.so库)的依赖项。这导致在加载libdexprotector.so库时加载frida gadget。
图20. 被注入的libfy.so
FriHook几乎包含了前面提到的所有功能。它隐藏无障碍服务和安装来源,并绕过完整性检查。由于相关的修改版银行应用程序已使用调试证书签名(这通常会被完整性检查标记),脚本会拦截getPackageInfo()函数以操控其输出。具体来说,它返回合法的签名信息,使应用程序相信APK使用的是有效的发布证书而非调试证书签名。这使得应用程序能够通过原本会检测并拒绝调试签名APK的基于签名的完整性检查。
图21. 恶意frida脚本的代码片段。
它还尝试操控内存映射。通过挂钩低级函数“fgets_unlocked”,它从内存映射中排除特定的库条目,并且还报告不准确的权限。这确保了隐藏的库不会出现在内存区域列表中,即使使用高级工具进行检查也是如此。
图22. 恶意frida脚本的代码片段。
该脚本不仅包含通用的反检测技术,还尝试提取随机数(nonce),将其与随机数一起发送到攻击者服务器以获取令牌。
图23. 恶意frida脚本的代码片段。
SkyHook
SkyHook已取代FriHook,并且使用更广泛。与其前身一样,它是在合法移动银行应用程序中构建的恶意应用程序。它利用公开可用的DobbyHook框架来执行运行时挂钩。功能可能因目标而异,但主要是绕过原始银行应用程序的安全措施。
图24. SkyHook中的类层次结构示例。
SkyHook的入口点可能不同,取决于银行应用程序。在大多数情况下,网络犯罪分子修改了Android清单文件,并添加了他们自己的AppComponentFactory实现来控制应用程序的启动过程。作为启动恶意代码的替代方法,攻击者可以编辑扩展Application的类以修改原始入口点的行为。
图25. 原始应用程序中更改的示例。
由于Application实例在其他任何组件之前创建,这允许攻击者在主应用程序启动之前挂钩或初始化所需函数。可以通过在Application的初始化过程中插入对恶意例程的调用来添加恶意入口点,或者通过用实现恶意功能的子类替换或扩展原始的Application类。
图26. 此抽象图显示了SkyHook中的类层次结构。
SkyHook有两种变体:一种包含额外的恶意共享库,另一种不包含。共享库是否存在取决于原始应用程序的安全级别。如果存在,挂钩库会在应用程序初始化的早期阶段加载,如前所述。需要注意的是,恶意库要求原始应用程序嵌入在修改版应用程序的assets文件夹中。因此,修改版APK的大小会加倍。
图27. 修改版银行应用程序中assets文件夹的结构。
挂钩库(libdobbyhook.so)对处理文件的函数执行了许多挂钩:openat、newfstatat、readlink。这些库使用了许多技术来增加静态分析的难度。大多数调用方法都使用控制流平坦化进行了混淆。此外,一些字符串使用XOR加密,每个字符串使用唯一的密钥。
挂钩库基于DobbyHook框架。首先,它读取config.txt文件以获取要捕获这些函数调用的库的名称。一旦函数被调用,信号处理程序就会被触发,并传递原始APK文件的路径。原始文件存储在欺诈应用程序内部(/assets/hook/base.apk),并在执行过程中被提取到/data/data/%APP_PACKAGE%/hook/base.apk。
图28. 显示SkyHook在合法银行应用程序内启动的序列图。
与Gigabud的通信
Group-IB专家怀疑它与Gigabud密切相关,因为它能够使用AIDL(Android接口定义语言)定义来与Gigabud交互。然而,我们并未看到它完全利用此功能。
Android应用出于安全考虑在隔离的进程中运行,这使得直接通信变得不可能。当应用需要跨进程边界共享服务或数据时,它们通过AIDL使用Android的Binder IPC系统。
在Gigabud端,它公开了一个基于AIDL的服务“com.fg.test.B”,其他应用可以绑定到该服务。它实现了多个IPC调用,由事务代码标识,这些代码在onTransact()中分发。
| 事务代码 | 操作 |
|---|---|
| 1 | 可用选项:auto_click_agree、auto_click_float、auto_click_use、auto_notification。这些选项指示Gigabud相应地执行正确的点击序列和手势。 |
| 2 | 返回令牌(“令牌”是由C2颁发给Gigabud以唯一标识设备的标识符) |
| 3 | 返回C2服务器地址 |
| 4 | 返回加密密钥 |
| 5 | 返回受害者的用户名 |
| 6 | 返回受害者的卡号 |
PineHook
总体而言,与之前的恶意软件相比,PineHook没有增加任何新功能,除了使用了不同的挂钩框架Pine。Pine是一个用于ART运行时的Java方法挂钩框架,用于拦截当前进程内的方法调用。这一变化的确切原因尚不清楚,但可能是为了规避检测,因为之前的挂钩工具可能已被银行应用程序内部的安全机制标记,这会使网络犯罪分子更难以修改它们。
图29. PineHook中的类层次结构示例。
在观察到的PineHook变体中,恶意活动始于加载一个原生库,该库对低级函数执行多个挂钩,包括openat64、openat、open64、open和ZipFile_open。逻辑很简单:拦截器监视目标包进行的这些函数调用,并检查文件路径是否以/base.apk结尾。如果是,则将该路径替换为/lib/arm64/libart64.so。它还会调用Java方法在执行期间替换包签名。
Gigaflower
Group-IB威胁情报研究人员发现了这个恶意APK,它最初看起来像一个Gigabud样本。然而,经过更深入的检查,我们发现它在代码库方面似乎进行了改进。它继承了Gigabud的部分代码库。由于存在大量“测试”或正在进行中的方法,我们认为它是GoldFactory开发人员正在开发的Gigabud木马的新版本,被Group-IB称为Gigaflower。我们获得的样本日期较早,很可能此后已经成熟并集成了新功能。命令列表包含大约48个命令。完整列表见附录部分。Gigaflower的主要功能如下:
- 实时屏幕和设备活动流传输。
- 滥用无障碍服务进行键盘记录、读取UI内容、执行手势。
- 多个伪造屏幕以促进社会工程——系统更新、安装、PIN提示、账户注册。
- 自动从身份证图像中检索数据。
图30. Gigabud和Gigaflower包之间的相似性。
开发中的新功能
越南身份证文字识别 在受害者被社会工程手段诱骗拍摄其身份证照片后,恶意软件内置了对身份证图像上的身份证号码、全名、生日、性别、地址的自动文字识别功能。
越南身份证二维码扫描器 我们看到新实现的其中一个有趣功能是二维码扫描能力,它尝试读取越南身份证上的二维码。这两个新功能很可能用于简化收集身份证信息的过程。
图31. 越南身份证上的二维码示例。
WebRTC GoldFactory已完全过渡到使用WebRTC进行其流传输和远程控制功能,利用了其相对于传统协议的众多优势。WebRTC提供实时、低延迟的通信,允许攻击者几乎即时地与受感染设备交互。
活动屏幕 与往常一样,他们融入了一系列逼真的、专门构建的屏幕,这些屏幕通过诱使受害者自己交出敏感信息来促进社会工程——例如,提示用户拍摄身份证件照片、输入完整的个人信息,或以“验证”或“安全检查”为借口提交一次性密码。这些伪造的UI经过精心设计,以模仿合法的银行或政府界面,并且通常在应用程序被授予广泛权限(相机、存储、无障碍服务)后出现,恶意软件滥用这些权限来显示覆盖层、捕获输入并转发提交的数据。
通过冒充银行或政府工作人员,打电话给受害者并指导他们完成每一步,加上使用逼真的视觉设计、紧急消息和分步提示,攻击者让用户自己交出敏感信息。
图32. Gigaflower屏幕示例。
结论
本报告强调了网络安全威胁日益增长的紧迫性,并揭示了网络犯罪分子针对移动应用程序所采用的日益复杂的技术。GoldFactory持续调整策略。虽然早期的活动侧重于利用KYC流程,但近期的活动显示,他们直接对合法银行应用程序进行补丁以实施欺诈。
使用合法的框架(如Frida、Dobby和Pine)来修改受信任的银行应用程序,展示了一种复杂且低成本的方法,这使得网络犯罪分子能够绕过传统检测并迅速扩大其操作规模。Gigaflower样本似乎是一个预发布测试版本,具有更新的代码库和实验性功能,例如用于身份验证的文字识别和二维码扫描。
Group-IB研究人员评估认为,Gigaflower仍处于开发阶段,但其设计表明正在为新一代银行恶意软件做准备,该恶意软件可能很快会投入生产并大规模针对用户。
总之,网络犯罪战术的持续演变,以GoldFactory恶意软件的高级功能为例,凸显了采取主动、多层网络安全策略的必要性。这应包括用户意识、行为监控以及能够检测新兴威胁并实时提醒最终用户的现代安全解决方案。
Group-IB欺诈矩阵
Group-IB欺诈矩阵提供了GoldFactory活动全过程中使用的战术、技术和指标的结构化视图。它映射了操作的每个阶段,从最初的社会工程和恶意软件投放到远程控制和数据窃取。通过概述关键行为、基础设施链接和恶意软件特征,该矩阵有助于快速评估暴露风险、加强监控规则并优先处理检测缺口。它还可以作为参考,帮助理解威胁行为者如何跨地区和恶意软件家族调整其方法,为防御者提供一个实用的工具,以便在大规模欺诈发生之前发现类似活动。
建议
对于金融机构
- 实施用户会话监控系统,例如Group-IB的欺诈防护,以检测恶意软件的存在,并在用户输入任何个人信息之前阻止异常会话。
- 观看Group-IB关于欺诈性使用神经网络和深度伪造技术的网络研讨会。
- 教育客户关于移动恶意软件的风险,包括如何识别虚假网站、恶意应用以及如何保护他们的密码和个人信息。
- 使用数字风险防护平台,检测数字表面上对您的徽标、商标、内容和设计布局的非法使用。
- 保持组织的安全需要持续的警惕,使用专有解决方案(例如Group-IB的威胁情报)可以通过为安全团队提供关于新出现和新兴威胁的最新见解,帮助组织加强其安全态势。
对于终端用户
- 不要点击可疑链接。移动恶意软件通常通过电子邮件、短信和社交媒体中的恶意链接传播。
- 仅从官方平台下载应用程序,例如Google Play商店、Apple App Store和华为应用市场。
- 如果必须下载第三方应用程序,请谨慎操作。
- 安装新应用程序时仔细审查请求的权限,当应用程序请求无障碍服务时要格外警惕。
- 不要将陌生人添加到您的即时通讯应用中。
- 联系您的银行时,请查找并使用他们的官方联系电话。如果您认为您的设备已被感染,请勿点击银行警报/弹窗。
- 如果您认为自己被骗了,请联系您的银行,立即冻结您的设备访问过的任何银行账户。
入侵指标 (IOCs)
完整的入侵指标列表可在Group-IB的威胁情报平台获取。
文件:
| SHA256 | 分类 |
|---|---|
| d3752e85216f46b76aaf3bc3f219b6bf7745fe0195076e991cf29dcc65f09723 | Remo |
| 4b6211de6a9b8b780537f4d0dcac7f5ba29af597b4b416d7ad40dbd5e6d3e360 | Gigabud |
| d75ca4b69e3ad9a6f2f4168f5713a049c310fee62ee0bba037ba4c24174d25c4 | Gigaflower |
| d47246c9bd4961f692cef6e3d8cdc5aa5f64e16946104cc9c194eb47077fd897 | PineHook |
| 0de69fad50b9e0800ba0120fe2b2f7ebb414e1ae335149a77dae3544b0a46139 | SkyHook |
| 68fb18d67bb2314ff70a0fb42e05c40463cceb9657c62682179e62809429ad99 | SkyHook |
| 9ada0f54f0eaa0349c63759172848fcb1dd123d892ece8d74002f96d6f095a43 | SkyHook |
| 4eb7a289af4ea7c65c4926e4b5e2c9ec3fb4d0b9cc425f704b7d1634c23a03a9 | SkyHook |
网络:
- ykkadm[.]icu
- ynsftkg[.]top
- dgpyynxzb[.]com
- b-ty[.]com
- www.vvpolo[.]top
- baknx[.]xyz
- nxbcak[.]xyz
- zoyee[.]cn
- evnspccskh[.]com
- 47.236.246[.]131
- 47.237.9[.]119
- 13.214.19[.]168
- 18.140.4[.]4
附录A:Gigaflower的C2命令表
| 命令ID | 操作 |
|---|---|
| 1 | 获取无障碍服务状态 |
| 2 | 打开通知栏 |
| 3 | 返回主屏幕 |
| 4 | 获取UI布局数据 |
| 6 | 从剪贴板粘贴文本 |
| 7 | 唤醒屏幕 |
| 8 | 解锁屏幕 |
| 9 | 锁定屏幕 |
| 10 | 伪造应用程序登录密码窗口 |
| 12 | 伪造PIN解锁窗口 |
| 14 | 伪造系统安装窗口 |
| 15 | 伪造系统安装窗口 |
| 16 | 伪造系统更新窗口 |
| 17 | 关闭所有对话框 |
| 18 | 伪造指纹窗口 |
| 19 | 伪造面部识别窗口 |
| 20 | 截图 |
| 21 | 拍照(未完成) |
| 28 | 请求READ_SMS权限并窃取短信 |
| 31 | 将连接状态设置为“True” |
| 40 | 向上滚动 |
| 41 | 向下滚动 |
| 42 | 向左滚动 |
| 43 | 向右滚动 |
| 50 | 开始WebRTC流传输 |
| 51 | WebRTC信号相关 |
| 52 | WebRTC信号相关 |
| 53 | WebRTC信号相关 |
| 54 | 停止WebRTC流传输 |
| 56 | 滑动 |
| 57 | 点击 |
| 60 | 启动屏幕助手(发送UI布局数据) |
| 61 | “sscreen_assistant_apps”(未实现) |
| 62 | 点击 |
| 63 | 滑动 |
| 69 | 停止屏幕助手(停止发送UI布局数据) |
| 70 | 打开掩码(测试中) |
| 71 | 隐藏掩码 |
| 80 | 返回键 |
| 81 | 主屏幕键 |
| 82 | 显示最近应用概览 |
| 85 | 获取电池电量 |
| 86 | 发送短信(测试中) |
| 87 | 关闭电池优化 |
| 90 | 锁定记录(未实现) |
| 91 | SIM卡号(未实现) |
| 98 | 获取WiFi接入点名称(未实现) |
| 110 | 启动指定应用程序 |
附录B:Gigaflower的API端点
| API端点 | 描述 |
|---|---|
| /fronted/createApps | 上传已安装应用程序列表 |
| /fronted/createContacts | 上传联系人列表 |
| /fronted/createKeyboardInput | 上传输入文本 |
| /fronted/createScreenPassword | 上传锁屏密码 |
| /fronted/createScreenText | 上传屏幕上所有文本 |
| /fronted/login | 从伪造应用屏幕发送用户名、密码、设备ID |
| /fronted/register | 上传设备信息 |
| /fronted/updateUserInfo | 上传用户在伪造屏幕上输入的更多详细信息 |
免责声明: 本出版物中提供的所有技术信息,包括恶意软件分析、入侵指标和基础设施详细信息,均仅用于防御性网络安全和研究目的共享。Group-IB不认可或允许对本文件所含信息的任何未经授权或攻击性使用。数据和结论代表了Group-IB基于现有证据的分析评估,旨在帮助组织检测、预防和应对网络威胁。 Group-IB明确声明对所提供的信息的任何误用不承担责任。鼓励组织和读者负责任地应用此情报,并遵守所有适用的法律和法规。