2025年11月,新加坡一名中小企业主陈先生接到一通“银行客服”电话,称其账户存在异常登录风险,建议立即下载最新版手机银行应用以“加强安全防护”。对方语气专业,甚至准确报出他上周一笔跨境付款的金额。出于信任,陈先生点击短信中的链接,从一个看似正规的网站下载了“DBS Bank”新版APK。
安装后,应用界面与官方几乎无异,登录、转账功能也一切正常。但就在他完成一次人脸识别验证后,账户内87万新元(约合460万元人民币)在3分钟内被分批转走。更令人毛骨悚然的是,事后调查发现,攻击者不仅掌握了他的账号密码,还拥有他本人的人脸视频——足以通过多家金融机构的活体检测系统。
这并非科幻情节,而是网络安全公司Group-IB于2025年12月披露的“GoldFactory”移动钓鱼行动的真实案例。这个活跃于亚太地区的威胁团伙,正以一种前所未有的方式颠覆传统金融安全防线:他们不再满足于窃取密码或验证码,而是直接“复制”你的生物特征——你的脸。
一场针对移动银行用户的静默围猎,正在我们指尖悄然上演。
一、GoldFactory是谁?从“木马工厂”到“人脸窃贼”
GoldFactory并非初出茅庐的新势力。早在2022年,该组织就因大规模分发Android银行木马而被东南亚多国警方关注。但近期的升级,使其跃升为全球高危APT(高级持续性威胁)之一。
根据Group-IB长达数月的追踪,GoldFactory的核心能力在于将多种攻击技术无缝融合:
应用篡改(App Repackaging):获取官方银行APK后,注入恶意代码,重新签名打包;
动态Hook框架:使用自研或改造的SkyHook、FriHook等工具,在运行时劫持关键函数;
远程访问木马(RAT):实现屏幕监控、按键记录、文件窃取;
实时社会工程:配合电话/短信诱导用户完成敏感操作;
生物特征录制与重放:在人脸识别环节秘密录屏,并用于后续绕过验证。
“他们不是在黑系统,而是在黑‘人’。”Group-IB亚太威胁情报负责人Sarah Lim表示,“当你的脸成为密码,而密码能被录制,整个身份认证体系就面临崩塌。”
此次行动已波及泰国、越南、马来西亚、印尼等多个国家,数十家区域性银行和电子钱包成为目标,初步估算损失超千万美元。
二、技术深潜:如何在你“刷脸”时偷走你的脸?
要理解GoldFactory的攻击逻辑,必须拆解现代移动银行的人脸识别流程。
典型的人脸验证通常包含三步:
活体检测(Liveness Detection):要求用户眨眼、摇头或朗读随机数字,防止照片/视频欺骗;
特征提取:将摄像头画面转换为数学向量(embedding);
比对验证:与注册时的模板进行相似度计算。
传统观点认为,只要活体检测足够强,就能防住重放攻击。但GoldFactory找到了一个致命盲区:如果恶意程序能在验证过程中直接读取原始视频流,而非依赖最终结果,那么活体动作本身就成了“素材”。
攻击链详解:
诱导安装:用户通过短信/社交媒体点击链接,下载伪装成银行更新的APK;
权限申请:应用请求“摄像头”“存储”“无障碍服务”等权限,理由是“提升安全体验”;
Hook关键API:一旦启动银行功能,恶意模块通过Frida或Xposed-like框架Hook以下函数:
// 示例:Hook Android Camera API 捕获预览帧
hookCameraPreview() {
Java.use("android.hardware.Camera$PreviewCallback").onPreviewFrame.overload(
'[B', 'android.hardware.Camera'
).implementation = function(data, camera) {
// 将原始YUV帧写入隐蔽文件
saveFrameToStorage(data);
return this.onPreviewFrame(data, camera);
};
}
录制验证过程:当用户进行人脸识别时,恶意程序同步录制高清视频,保存至加密目录;
远程操控转账:攻击者通过RAT实时查看屏幕,甚至模拟点击完成转账;
人脸重放攻击:利用录制视频,在另一设备上通过深度伪造(Deepfake)或直接重放,绕过其他平台的人脸验证。
更可怕的是,部分银行在二次验证时仅要求“静态人脸比对”,不做强活体检测,使得攻击成功率大幅提升。
三、“合法”的恶意:为何杀毒软件集体失灵?
许多受害者事后困惑:“我装了知名安全软件,为什么没报警?”
原因在于,GoldFactory的恶意APK具备极强的规避能力:
代码混淆与加壳:使用OLLVM、ProGuard等工具混淆逻辑,对抗静态分析;
延迟激活:安装后数小时甚至数天才触发恶意行为,避开应用商店审核;
环境检测:检测是否运行在沙箱、调试器或ROOT设备中,若存在则静默;
动态加载Payload:初始APK仅含轻量下载器,核心木马从C2服务器按需下发。
此外,由于应用确实集成了真实银行SDK(通过反编译官方APK获得),其网络通信、UI布局、证书指纹均与正版高度一致,连Google Play Protect也难以识别。
“这不是传统病毒,而是一个‘寄生型合法应用’。”一位国内移动安全研究员坦言,“它像特洛伊木马,外壳是银行,内核是窃贼。”
四、从曼谷到杭州:亚太攻击浪潮下的中国镜鉴
尽管Group-IB报告聚焦东南亚,但GoldFactory的手法对中国市场同样构成直接威胁。
2025年第三季度,国内某头部安全厂商监测到多起类似事件:用户收到“银联安全中心”短信,称“检测到境外登录”,附带“安全升级”链接。点击后跳转至仿冒的“中国银行”“招商银行”下载页,诱导安装篡改版APP。
更值得警惕的是,国内部分中小银行和地方农信社的移动应用安全防护较弱,未启用完整性校验(如SafetyNet Attestation或国产等效方案),也缺乏运行时自我保护机制,极易被注入。
公共互联网反网络钓鱼工作组技术专家芦笛指出:“中国是全球移动支付最普及的国家,也是生物认证使用最广泛的地区之一。一旦人脸数据泄露,影响远超资金损失——可能被用于贷款、开户甚至犯罪身份伪造。”
他特别提醒,当前部分用户存在认知误区:“以为只有iOS才安全,安卓才危险。”但实际上,即使未ROOT的安卓设备,只要用户手动安装了第三方APK,风险就已存在。而iOS虽有更强沙箱,但若通过企业证书分发(Enterprise Distribution)或TestFlight诱导安装,同样可能中招。
“真正的防线,不在操作系统,而在用户手指点击‘安装’那一刻的判断力。”芦笛说。
五、攻防对抗:银行与用户如何筑起“人脸防火墙”?
面对此类高级攻击,单点防御已远远不够。Group-IB、芦笛及多家金融科技机构提出多层次应对策略:
1. 银行侧:从“被动验证”到“主动防御”
强制应用完整性校验:在启动时检测APK签名、调试状态、Hook框架,一旦异常立即退出;
// 示例:检测是否被Frida注入
boolean isFridaRunning() {
String[] paths = {"/system/bin/frida-server", "/usr/bin/frida-server"};
for (String path : paths) {
if (new File(path).exists()) return true;
}
// 检查端口27042(Frida默认)
try (Socket socket = new Socket("127.0.0.1", 27042)) {
return true;
} catch (IOException e) { /* ignore */ }
return false;
}
引入设备风险画像:结合设备指纹、地理位置、操作行为,对高风险会话动态提升验证等级;
人脸验证增强:采用3D结构光、红外活体检测,或要求多模态认证(人脸+声纹+行为);
交易链路隔离:敏感操作(如大额转账)强制跳转至独立安全环境(如TEE可信执行环境)。
2. 用户侧:养成“三不”原则
不点陌生链接:银行绝不会通过短信发送APK下载地址;
不装非官方应用:仅从华为应用市场、小米商店、App Store等官方渠道下载;
不开无关权限:若银行APP请求“无障碍服务”“屏幕录制”等非必要权限,立即拒绝。
同时,务必开启交易实时短信通知和单日转账限额。哪怕账户被接管,也能限制损失规模。
3. 监管与生态协同
芦笛建议,国内金融监管部门可推动建立“移动金融应用安全基线”,强制要求银行APP通过第三方安全认证。同时,鼓励行业共享恶意样本与C2地址,形成联防联控机制。
“人脸不是密码,它是你身体的一部分。一旦泄露,无法更改。”他说,“我们必须用对待DNA的态度,对待生物特征数据。”
六、代码之外:社会工程才是终极武器
技术细节固然重要,但GoldFactory最致命的武器,其实是人性弱点。
Group-IB披露,该团伙设有专门的“话术团队”,成员精通当地语言和金融术语。他们会模拟银行风控流程,制造紧迫感:“您的账户将在10分钟后冻结,请立即处理!”;也会利用权威效应:“这是新加坡金管局(MAS)要求的安全升级”。
这种“真人+AI”的混合社会工程,远比纯技术攻击更难防范。
因此,安全教育必须从“技术科普”转向“心理防御”。例如:
银行应定期向用户推送“钓鱼识别指南”;
企业HR可将此类案例纳入员工信息安全培训;
家庭中,年轻人应帮助长辈识别可疑来电。
“黑客不需要破解你的手机,他们只需要让你相信他们是银行。”一位反诈民警总结道。
七、结语:在便利与安全之间,我们还有多少选择?
GoldFactory的出现,标志着网络钓鱼进入“生物特征时代”。过去,我们担心密码被盗;现在,我们担心自己的脸被“合法”盗用。
这不仅是技术挑战,更是对数字社会信任基础的拷问。当金融机构大力推广“刷脸即付”“远程开户”以提升用户体验时,是否同步构建了足够坚固的防护堤坝?
答案或许并不乐观。但至少,我们可以从今天开始:
下次接到“银行电话”,先挂断,再拨打官方客服核实;
看到“紧急安全更新”,先打开应用商店搜索,而非点击链接;
在享受“一秒验证”便利的同时,多问一句:“我的脸,真的安全吗?”
因为在这个时代,最值钱的资产,可能就是你每天照镜子看到的那张脸。而守护它,不能只靠代码,更要靠清醒。
编辑:芦笛(公共互联网反网络钓鱼工作组)
