在2023年3月，泰国央行发布指示，要求银行在进行以下交易时采用面部生物特征验 证来确认身份：单笔交易金额达到50,000 泰铢（约合 1,430 美元）或以上；每日转账超过 200,000 泰铢；或者将移动设备上的信用转账限额提高到每次交易50,000泰铢以上。这一指 示意味着银行在这些情况下不再使用一次性密码（OTP），而是采用面部生物特征验证来加 强身份确认的安全性。 此次发现的攻击活动就是黑产团伙针对这一政策定制的新的攻击策略，攻击组织将诱 饵恶意软件伪装成泰国省电力局（PEA）应用进行投递，至于为何选此软件，通过查询可知 泰国省电力局（PEA）应用在Google Play Store的下载量就达500万+次，而电网交易又是 用户生活必须事项。此前版本也常常伪装成泰国政府、金融部门和公共事业公司的相关应用 程序，由此可见，这是他们惯用的伪装手段。不同的是攻击者在诱导受害用户安装此类仿冒 软件后，还会在使用过程中诱导受害用户安装一个宣称为客服软件的金融监控软件，继而实 施更加深入的诈骗活动。 经过深入分析后，我们将这个幕后组织命名为"金相狐"（GoldenPhysiognomyFox）组织。 这个名字不仅仅是一个标签，而是一个对该组织行为和特点的生动描述："金"代表了他们攫 取金钱的目的，"相"则暗示了他们利用人脸识别技术的手段，而"狐"则象征了他们狡猾和欺 骗的本质。这个名字既突出了他们的行为特点，又让我们更深入地了解到这个组织的本质。 接下来，让我们深入探讨"金相狐"组织的运作方式和对用户的威胁。