你的脸，正在被“合法”盗用？GoldFactory钓鱼新风暴：伪造银行APP窃取人脸数据接管账户

2025年11月，新加坡一名中小企业主陈先生接到一通“银行客服”电话，称其账户存在异常登录风险，建议立即下载最新版手机银行应用以“加强安全防护”。对方语气专业，甚至准确报出他上周一笔跨境付款的金额。出于信任，陈先生点击短信中的链接，从一个看似正规的网站下载了“DBS Bank”新版APK。

安装后，应用界面与官方几乎无异，登录、转账功能也一切正常。但就在他完成一次人脸识别验证后，账户内87万新元（约合460万元人民币）在3分钟内被分批转走。更令人毛骨悚然的是，事后调查发现，攻击者不仅掌握了他的账号密码，还拥有他本人的人脸视频——足以通过多家金融机构的活体检测系统。

这并非科幻情节，而是网络安全公司Group-IB于2025年12月披露的“GoldFactory”移动钓鱼行动的真实案例。这个活跃于亚太地区的威胁团伙，正以一种前所未有的方式颠覆传统金融安全防线：他们不再满足于窃取密码或验证码，而是直接“复制”你的生物特征——你的脸。

一场针对移动银行用户的静默围猎，正在我们指尖悄然上演。

一、GoldFactory是谁？从“木马工厂”到“人脸窃贼”

GoldFactory并非初出茅庐的新势力。早在2022年，该组织就因大规模分发Android银行木马而被东南亚多国警方关注。但近期的升级，使其跃升为全球高危APT（高级持续性威胁）之一。

根据Group-IB长达数月的追踪，GoldFactory的核心能力在于将多种攻击技术无缝融合：

应用篡改（App Repackaging）：获取官方银行APK后，注入恶意代码，重新签名打包；

动态Hook框架：使用自研或改造的SkyHook、FriHook等工具，在运行时劫持关键函数；

远程访问木马（RAT）：实现屏幕监控、按键记录、文件窃取；

实时社会工程：配合电话/短信诱导用户完成敏感操作；

生物特征录制与重放：在人脸识别环节秘密录屏，并用于后续绕过验证。

“他们不是在黑系统，而是在黑‘人’。”Group-IB亚太威胁情报负责人Sarah Lim表示，“当你的脸成为密码，而密码能被录制，整个身份认证体系就面临崩塌。”

此次行动已波及泰国、越南、马来西亚、印尼等多个国家，数十家区域性银行和电子钱包成为目标，初步估算损失超千万美元。

二、技术深潜：如何在你“刷脸”时偷走你的脸？

要理解GoldFactory的攻击逻辑，必须拆解现代移动银行的人脸识别流程。

典型的人脸验证通常包含三步：

活体检测（Liveness Detection）：要求用户眨眼、摇头或朗读随机数字，防止照片/视频欺骗；

特征提取：将摄像头画面转换为数学向量（embedding）；

比对验证：与注册时的模板进行相似度计算。

传统观点认为，只要活体检测足够强，就能防住重放攻击。但GoldFactory找到了一个致命盲区：如果恶意程序能在验证过程中直接读取原始视频流，而非依赖最终结果，那么活体动作本身就成了“素材”。

攻击链详解：

诱导安装：用户通过短信/社交媒体点击链接，下载伪装成银行更新的APK；

权限申请：应用请求“摄像头”“存储”“无障碍服务”等权限，理由是“提升安全体验”；

Hook关键API：一旦启动银行功能，恶意模块通过Frida或Xposed-like框架Hook以下函数：

// 示例：Hook Android Camera API 捕获预览帧

hookCameraPreview() {

Java.use("android.hardware.Camera$PreviewCallback").onPreviewFrame.overload(

'[B', 'android.hardware.Camera'

).implementation = function(data, camera) {

// 将原始YUV帧写入隐蔽文件

saveFrameToStorage(data);

return this.onPreviewFrame(data, camera);

};

}

录制验证过程：当用户进行人脸识别时，恶意程序同步录制高清视频，保存至加密目录；

远程操控转账：攻击者通过RAT实时查看屏幕，甚至模拟点击完成转账；

人脸重放攻击：利用录制视频，在另一设备上通过深度伪造（Deepfake）或直接重放，绕过其他平台的人脸验证。

更可怕的是，部分银行在二次验证时仅要求“静态人脸比对”，不做强活体检测，使得攻击成功率大幅提升。

三、“合法”的恶意：为何杀毒软件集体失灵？

许多受害者事后困惑：“我装了知名安全软件，为什么没报警？”

原因在于，GoldFactory的恶意APK具备极强的规避能力：

代码混淆与加壳：使用OLLVM、ProGuard等工具混淆逻辑，对抗静态分析；

延迟激活：安装后数小时甚至数天才触发恶意行为，避开应用商店审核；

环境检测：检测是否运行在沙箱、调试器或ROOT设备中，若存在则静默；

动态加载Payload：初始APK仅含轻量下载器，核心木马从C2服务器按需下发。

此外，由于应用确实集成了真实银行SDK（通过反编译官方APK获得），其网络通信、UI布局、证书指纹均与正版高度一致，连Google Play Protect也难以识别。

“这不是传统病毒，而是一个‘寄生型合法应用’。”一位国内移动安全研究员坦言，“它像特洛伊木马，外壳是银行，内核是窃贼。”

四、从曼谷到杭州：亚太攻击浪潮下的中国镜鉴

尽管Group-IB报告聚焦东南亚，但GoldFactory的手法对中国市场同样构成直接威胁。

2025年第三季度，国内某头部安全厂商监测到多起类似事件：用户收到“银联安全中心”短信，称“检测到境外登录”，附带“安全升级”链接。点击后跳转至仿冒的“中国银行”“招商银行”下载页，诱导安装篡改版APP。

更值得警惕的是，国内部分中小银行和地方农信社的移动应用安全防护较弱，未启用完整性校验（如SafetyNet Attestation或国产等效方案），也缺乏运行时自我保护机制，极易被注入。

公共互联网反网络钓鱼工作组技术专家芦笛指出：“中国是全球移动支付最普及的国家，也是生物认证使用最广泛的地区之一。一旦人脸数据泄露，影响远超资金损失——可能被用于贷款、开户甚至犯罪身份伪造。”

他特别提醒，当前部分用户存在认知误区：“以为只有iOS才安全，安卓才危险。”但实际上，即使未ROOT的安卓设备，只要用户手动安装了第三方APK，风险就已存在。而iOS虽有更强沙箱，但若通过企业证书分发（Enterprise Distribution）或TestFlight诱导安装，同样可能中招。

“真正的防线，不在操作系统，而在用户手指点击‘安装’那一刻的判断力。”芦笛说。

五、攻防对抗：银行与用户如何筑起“人脸防火墙”？

面对此类高级攻击，单点防御已远远不够。Group-IB、芦笛及多家金融科技机构提出多层次应对策略：

1. 银行侧：从“被动验证”到“主动防御”

强制应用完整性校验：在启动时检测APK签名、调试状态、Hook框架，一旦异常立即退出；

// 示例：检测是否被Frida注入

boolean isFridaRunning() {

String[] paths = {"/system/bin/frida-server", "/usr/bin/frida-server"};

for (String path : paths) {

if (new File(path).exists()) return true;

}

// 检查端口27042（Frida默认）

try (Socket socket = new Socket("127.0.0.1", 27042)) {

return true;

} catch (IOException e) { /* ignore */ }

return false;

}

引入设备风险画像：结合设备指纹、地理位置、操作行为，对高风险会话动态提升验证等级；

人脸验证增强：采用3D结构光、红外活体检测，或要求多模态认证（人脸+声纹+行为）；

交易链路隔离：敏感操作（如大额转账）强制跳转至独立安全环境（如TEE可信执行环境）。

2. 用户侧：养成“三不”原则

不点陌生链接：银行绝不会通过短信发送APK下载地址；

不装非官方应用：仅从华为应用市场、小米商店、App Store等官方渠道下载；

不开无关权限：若银行APP请求“无障碍服务”“屏幕录制”等非必要权限，立即拒绝。

同时，务必开启交易实时短信通知和单日转账限额。哪怕账户被接管，也能限制损失规模。

3. 监管与生态协同

芦笛建议，国内金融监管部门可推动建立“移动金融应用安全基线”，强制要求银行APP通过第三方安全认证。同时，鼓励行业共享恶意样本与C2地址，形成联防联控机制。

“人脸不是密码，它是你身体的一部分。一旦泄露，无法更改。”他说，“我们必须用对待DNA的态度，对待生物特征数据。”

六、代码之外：社会工程才是终极武器

技术细节固然重要，但GoldFactory最致命的武器，其实是人性弱点。

Group-IB披露，该团伙设有专门的“话术团队”，成员精通当地语言和金融术语。他们会模拟银行风控流程，制造紧迫感：“您的账户将在10分钟后冻结，请立即处理！”；也会利用权威效应：“这是新加坡金管局（MAS）要求的安全升级”。

这种“真人+AI”的混合社会工程，远比纯技术攻击更难防范。

因此，安全教育必须从“技术科普”转向“心理防御”。例如：

银行应定期向用户推送“钓鱼识别指南”；

企业HR可将此类案例纳入员工信息安全培训；

家庭中，年轻人应帮助长辈识别可疑来电。

“黑客不需要破解你的手机，他们只需要让你相信他们是银行。”一位反诈民警总结道。

七、结语：在便利与安全之间，我们还有多少选择？

GoldFactory的出现，标志着网络钓鱼进入“生物特征时代”。过去，我们担心密码被盗；现在，我们担心自己的脸被“合法”盗用。

这不仅是技术挑战，更是对数字社会信任基础的拷问。当金融机构大力推广“刷脸即付”“远程开户”以提升用户体验时，是否同步构建了足够坚固的防护堤坝？

答案或许并不乐观。但至少，我们可以从今天开始：

下次接到“银行电话”，先挂断，再拨打官方客服核实；

看到“紧急安全更新”，先打开应用商店搜索，而非点击链接；

在享受“一秒验证”便利的同时，多问一句：“我的脸，真的安全吗？”

因为在这个时代，最值钱的资产，可能就是你每天照镜子看到的那张脸。而守护它，不能只靠代码，更要靠清醒。

编辑：芦笛（公共互联网反网络钓鱼工作组）