近日，网络安全公司Group-IB发布的报告显示，其揭露了第一个iOS木马病毒收集面部识别数据用于未经授权访问银行账户。

据悉，2023年10月，Group-IB研究人员发布了一份关于以前未知的安卓木马的报告，该木马专门针对越南超50家金融机构。由于APK中包含一个名为GoldActivity的活动，Group-IB将其命名为GoldDigger。在发现该木马后，Group-IB的威胁情报部门一直在监测这种不断变化的威胁，并发现了一整组针对亚太地区的侵略性银行木马。

在这些发现中，有一个非常罕见的事件，即一种新的复杂的针对iOS用户的移动木马，被Group-IB称为GoldPickaxe.iOS。GoldPickaxe系列包括iOS和安卓版本，其基于GoldDigger安卓木马，并具有定期更新功能，旨在增强其功能和规避检测。Group-IB研究人员发现，GoldPickaxe.iOS能够收集面部识别数据、身份文件和拦截短信。而安卓版本具有相同的功能，但也具备安卓木马典型的其他功能。

为了利用被盗的生物识别数据，威胁行为者利用AI驱动的换脸服务来创建深度伪造。这些数据与身份文件和拦截短信的能力相结合，使网络犯罪分子可未经授权访问受害者的银行账户。作为一种新的货币盗窃技术，这是以前Group-IB研究人员在其他欺诈计划中从未见过的。

新发现的GoldPickaxe.iOS采用了一种值得注意的分发方案。威胁行为者最初利用苹果的移动应用程序测试平台TestFlight来分发恶意软件。在从TestFlight中删除其恶意应用程序后，威胁行为者采用了更复杂的方法。他们采用了多阶段社会工程计划来说服受害者安装移动设备管理（MDM）配置文件，这使得威胁行为者可完全控制受害者的设备。

Group-IB将整个威胁集群归因于一个代号为GoldFactory的威胁行为者，该行为者开发了一套复杂的移动银行恶意软件。

这种恶意活动的受害者主要位于亚太地区。虽然目前的证据表明，GoldFactory尤其关注2个亚太地区的国家，但有新的迹象表明，GoldFactory的运营地域可能会拓展至越南和泰国之外。