病原体论述

成功，CQ9电子谛听实验所室评估到这款叫作GoldPickaxe的 “全脸劫持”暴力犯罪软件下载，它能盗用用户组的全脸区分等生物技术特征描述数据表格、阻止短消息并且 一级代理产品流量数据。GoldPickaxe恶意软件hiv恶意软件蠕虫病毒认可iOS和Android新版本，是目前为止看见的首届iOS恶意软件hiv恶意软件蠕虫病毒。不相同于传统化的盗用的费用方式英文，GoldPickaxe恶意软件hiv恶意软件蠕虫病毒并不直接性从范罪者电脑中盗走的费用，还实现获得范罪者个人信息来构建纵深假造短视频，并自然防问范罪者的建行用程序流程，同意顶级黑客不经授权使用防问范罪者建行证券账户。

阶段GoldPickaxe贡献度在缅甸和泰国的，然而慕后攻击功击者都已经已经加大运动区域，CQ9电子会坚持监察该恶势动态数据并积极向上弄好健康功击事情。

病毒样本进行分析

GoldFactory的开发的这套僵化恶意软件病毒GoldPickaxe自202两年多前中期近一年来不停愉悦，其范罪者分散在缅甸和菲律宾，环节已遇到的所有恶意软件病毒均始终处于愉悦的提升环节。

GoldPickaxe有Android游戏传奇的号和iOS游戏传奇的号，各举Android游戏传奇的号会施用Virbox加壳保护好，配备极其加强制度建设的恶意网站性能性。因为iOS渠道的全封闭性和限权检验相对比较苛刻，iOS游戏传奇的号已解压且没得避免出现新技术，但性能性相较于Android游戏传奇的号较少。

GoldFactory的敲诈勒索标准流程要求有以下几点：

一、使用短信推送、电话号、q邮箱等多种不同习惯诱骗普通用户访问共享不符快速登录手机网页

二、受害的者进行下载并组装GoldPickaxe伪装的的失实“字母给养老保险金”APP软件程序

三、被害者被GoldPickaxe疏导放入私密信息，并报错被害者拍摄视频播放成为明确相关材料

四、过失伤害者录屏的短视频图片被在换脸劳动力智力的服务有个成厚度假冒短视频图片

五、网络黑客未经授权文件授权文件访问就会银行系统银行账号并盗用资本

GoldPickaxe.iOS木马系统将自已追踪定位成新加坡部门保障app系统并经由错用MDM工作计划来传布。MDM是一个种全方位的集合式搞定计划，使用于管控和守护结构内的位移装备（譬如自动化苹果六手机和pad电脑上）。MDM的重要目标任务是还简化装备管控目标任务、不断增强安全管理性、切实保障遵守规则结构策略性并谋划app系统。

hack技术实现社会的施工误导用户名下载软件MDM配值zip文件资料。如果一旦装有此配值zip文件资料，hack技术就能兑换对机器的调整管理工作员权限，比如远程登陆擦除、机器定位和广泛应用软件系统软件管理工作。hack技术利于哪些能力来装有GoldPickaxe恶性广泛应用软件系统软件并了解用户需用的信息查询。

GoldPickaxe 用与指令和保持 (C2) 的高防服务器的隐性通信网形式，应用Websocket读取指令，应用HTTP发布履行终极。在Android系统中Websocket通畅运用网口8282，而iOS系统韵达畅运用网口8383。读取到指令后，故意应用将履行的终极凭借 HTTP 传送大数据到各自的的 API 端点，每个指令均用JSON版式。凭借Websocket从C2读取的指令未密码保护，但发布到 HTTP API端点的终极运用rsa开始密码保护。终极GoldPickaxe会将受感染支原体系统的大数据走漏到天猫淘宝云中数据存储。

GoldPickaxe.Android安全使用的HTTP API基本如下所示：

GoldPickaxe的另个实用功能是它新建其中一个SOCKS5代办业务器和加快反相代办 (FRP)。GoldPickaxe启动服务器功能器的后，GoldPickaxe.iOS会实用JetFire库连到到Websocket 。该库代替构建能在后台管理系统无拥塞通信网络的Websocket客人端。若是连到胜利，它将在本地网监控主机 ( 127.0.0.1:1081 ) 上启动服务器功能器的SOCKS5业务器，一起启动服务器功能器的反相代办以开通连到。

在逐渐开始时候，GoldPickaxe会发布HTTP恳请以获得一级代理提供web服务的于系统搭配。提供web服务的于系统搭配移动存储在移动Documents文档夹中的newconfig.ini文档，后续受交叉感染的移动会给我发富含受虚假宣传掌握的提供web服务的于地扯的系统搭配。它使用的之下模板下载开发，该模板下载开发可在IPA文档中寻到。

网络黑客便用GitHub上给予的轻数据量工程项目——MicroSocks来保证代理加盟的功能。

只为融合用Go填写的FRP库，GoldPickaxe选择Golang 手机端绑定手机号输出模块以支持于Android和iOS，这益于提取电脑网络手机号码转为 (NAT) 或防灰防水墙里边的本地人售后数据库服务保障器数据信息。后会各种热度都是借助同时初始化的手机经销售后数据库服务保障器采取重定向生。

GoldPickaxe.Android对受损害者的操控下令表单有以下几点：

该恶势会的标准访客手机拍照来伪造视角证照片头像儿、从过失伤害者相册全部图片中搜索照片头像儿并驯服面颊判断数剧库，在此之后展开手动自动化换脸水平回收利用伪造到的海洋生物学判断数剧库，以刷出过失伤害者的信用社软件流程图许可。联合开发职工运行Google的ML Kit展开你的整体检则，当提出“面颊”操作命令时，将展开面颊扫苗，录频面颊短视频播放时，会给于一定皱眉、微笑的全部图片、往左边、向左向右、由上向下点点头、积极和张嘴等汇编指令。这个技术平常应用在创办进一步的面颊海洋生物学特性资料，这短视频播放和全部图片会被上传照片到云服务保存点。

面部分辨的确保软件FaceViewController中收集google faceDetector辅助工具集展开面部分辨，并对收集的面部短视频播放以H264短视频播放形式批量下载到C2的主机。

在IDcardViewController中体现得到 职业证双面面短信，并保护为高清图片上传视频。

结合以上上述，黑客入侵通过GoldPickaxe恶意软件从丧生者机中导出资金量的预案覆盖如下所述：

GoldFactory的手机上银行办理木马小软件仍在不停的快速发展。列举，Android他人小软件含盖未建立的加工处理执行系统程序或未用到的基本功能。此时警告广大干部使用者请匆轻意深信陌生了下载链接和使用执行系统程序，防范被骗上当被骗。

护甲觉得

不会选择嫌疑的微信链接。预防借助手机信息、手机信息和社交交友网络媒体贴子中的恶性的微信链接患上中移动恶性app。

凭借官方团队网站下載运用系统手机软件。不贸然正常运行未知系统手机软件和缩小相关文件、没在非正規网站下載手机软件。

布置新利用流程代码时请缜密审核所申请的管理权限，并在利用流程代码申请引导功效服务的时增加宽度提高警惕。

不必在惯用的发消息app软件中随性使用不太熟悉人。

要存疑，请会转达银行系统系统，而并不是打开网页苹果六手机霸屏上的银行系统系统警报器工具栏。

附表

样本IOCs列表：

CQ9电子物品减伤标准配置

♦ CQ9电子EDR系统防御配置

1、可以通过微屏蔽营销策略进一步强化造访操作，有效降低上下影响危害性；

2、启闭压缩文件实时交通监控设备系统，可以有效防控和查杀该讹诈病菌;

3、开始平台化加固工程实用功能，有无效手机拦截该敲诈勒索病原体对平台化关键因素角度开始摧毁和篡改。

♦ CQ9电子僵尸网络木马和蠕虫监测与处置系统配置

1、更新多种危机侦察库，重置危机侦察蓄意文书的的检测和捉捕功能性，进行的的检测和捉捕网咯中传导的GoldPickaxe新型的面部的信息伪造艾滋病毒；

2、关掉恐吓威胁间谍日记记录卡和警告性能；

3、可显卡配置旁路恰恰能阻隔可能CQ9电子安全端口转发对接，拦阻GoldPickaxe创新刷脸信息查询偷取病毒是什么的在线营销。

CQ9电子物品调用的方法

CQ9电子EDR单机版下载地址：

//edr.modumoduo.com

CQ9电子僵尸网络木马和蠕虫监测与处置系统威胁情报库下载地址:

ftp://ftp.modumoduo.com