Ciberdelincuentes asociados con un reunión con motivación financiera conocido como factoría de oro Se ha observado que se ha organizado una nueva ronda de ataques dirigidos a usuarios de dispositivos móviles en Indonesia, Tailandia y Vietnam haciéndose advenir por servicios gubernamentales.
La actividad, observada desde octubre de 2024, implica la distribución de aplicaciones bancarias modificadas que actúan como conducto para el malware de Android, dijo Group-IB en un documentación técnico publicado el miércoles.
GoldFactory, que se evaluó como activo desde junio de 2023, llamó la atención por primera vez a principios del año pasado, cuando la empresa de ciberseguridad con sede en Singapur detalló el uso por parte del actor de amenazas de familias de malware personalizadas como GoldPickaxe, GoldDigger y GoldDiggerPlus dirigidos a dispositivos Android e iOS.
La evidencia apunta a que GoldFactory es un reunión de cibercrimen de palabra china acertadamente organizado con estrechas conexiones con Gigabud, otro malware para Android que se detectó a mediados de 2023. A pesar de las grandes disparidades en sus bases de código, se ha descubierto que tanto GoldDigger como Gigabud comparten similitudes en sus objetivos de suplantación y páginas de destino.
Los primeros casos de la última ola de ataques se detectaron en Tailandia, y la amenaza apareció seguidamente en Vietnam a finales de 2024 y principios de 2025 y en Indonesia a partir de mediados de 2025.
Group-IB dijo que ha identificado más de 300 muestras únicas de aplicaciones bancarias modificadas que han provocado casi 2.200 infecciones en Indonesia. Investigaciones adicionales han descubierto más de 3.000 artefactos que, según se dijo, provocaron no menos de 11.000 infecciones. En torno a del 63% de las aplicaciones bancarias modificadas se dirigen al mercado indonesio.
Las cadenas de infección, en pocas palabras, implican la suplantación de entidades gubernamentales y marcas locales confiables y el acercamiento a posibles objetivos por teléfono para engañarlos para que instalen malware indicándoles que hagan clic en un enlace enviado en aplicaciones de transporte como Zalo.
En al menos un caso documentado por Group-IB, los estafadores se hicieron advenir por la empresa pública de energía de Vietnam, EVN, e instaron a las víctimas a sufragar facturas de electricidad atrasadas o pasar el peligro de carear la suspensión inmediata del servicio. Durante la indicación, se dice que los actores de amenazas pidieron a las víctimas que los agregaran a Zalo para cobrar un enlace para descargar una aplicación y vincular sus cuentas.
Los enlaces redirigen a las víctimas a páginas de destino falsas que se hacen advenir por listados de aplicaciones de Google Play Store, lo que resulta en la implementación de un troyano de ataque remoto como Gigabud, MMRat o Remo, que apareció a principios de este año usando las mismas tácticas que GoldFactory. Estos droppers luego allanan el camino para la carga útil principal que abusa de los servicios de accesibilidad de Android para entregar el control remoto.
“El malware (…) se apoyo en las aplicaciones bancarias móviles originales”, dijeron los investigadores Andrey Polovinkin, Sharmine Low, Ha Thi Thu Nguyen y Pavel Naumov. “Funciona inyectando código ladino sólo en una parte de la aplicación, permitiendo que la aplicación llamativo conserve su funcionalidad corriente. La funcionalidad de los módulos maliciosos inyectados puede demorar de un objetivo a otro, pero principalmente pasa por stop las características de seguridad de la aplicación llamativo”.
Específicamente, funciona conectándose a la deducción de la aplicación para ejecutar el malware. Se han descubierto tres familias de malware diferentes según los marcos utilizados en las aplicaciones modificadas para realizar el enlace en tiempo de ejecución: FriHook, SkyHook y PineHook. Independientemente de estas diferencias, la funcionalidad de los módulos se superpone, lo que permite:
- Ocultar la relación de aplicaciones que tienen habilitados los servicios de accesibilidad
- Evitar la detección de screencast
- Falsificar la firma de una aplicación de Android
- Ocultar la fuente de instalación
- Implementar proveedores de tokens de integridad personalizados y
- Obtener el saldo de la cuenta de las víctimas.
Mientras que SkyHook utiliza el situación Dobby habitable públicamente para ejecutar los ganchos, FriHook emplea un dispositivo Frida que se inyecta en la aplicación bancaria legítima. PineHook, como su nombre lo indica, utiliza un situación de enlace basado en Java llamado Pine.
Group-IB dijo que su investigación de la infraestructura maliciosa construida por GoldFactory asimismo descubrió una lectura de prueba previa al propagación de una nueva variable de malware para Android denominada Gigaflower que probablemente sea un sucesor del malware Gigabud.
Admite cerca de de 48 comandos para permitir la transmisión de actividad de la pantalla y del dispositivo en tiempo verdadero mediante WebRTC; convertir en armas los servicios de accesibilidad para el registro de teclas, la lección de contenido de la interfaz de afortunado y la realización de gestos; servir pantallas falsas para imitar actualizaciones del sistema, solicitudes de PIN y registro de cuentas para compilar información personal, y extraer datos de imágenes asociadas con tarjetas de identificación utilizando un operación de agradecimiento de texto incorporado.
Actualmente asimismo se está trabajando en una función de escáner de códigos QR que intenta descifrar el código QR en los documentos de identidad vietnamitas, probablemente con el objetivo de simplificar el proceso de captura de detalles.
Curiosamente, GoldFactory parece ocurrir descuidado su troyano iOS personalizado en distinción de un enfoque inusual que ahora indica a las víctimas que tomen prestado un dispositivo Android de un usual o pariente para continuar el proceso. Actualmente no está claro qué provocó el cambio, pero se cree que se debe a medidas de seguridad más estrictas y a la moderación de la tienda de aplicaciones en iOS.
“Mientras que las campañas anteriores se centraron en explotar los procesos KYC, la actividad fresco muestra parches directos de aplicaciones bancarias legítimas para cometer fraude”, dijeron los investigadores. “El uso de marcos legítimos como Frida, Dobby y Pine para modificar aplicaciones bancarias confiables demuestra un enfoque sofisticado pero de bajo costo que permite a los ciberdelincuentes eludir la detección tradicional y subir rápidamente sus operaciones”.
