Se ha observado que ciberdelincuentes asociados con un grupo con motivación financiera conocido como GoldFactory lanzan nuevos ataques dirigidos a usuarios de dispositivos móviles en Indonesia, Tailandia y Vietnam haciéndose pasar por servicios gubernamentales.
La actividad, que se ha observado desde octubre de 2024, implica la distribución de aplicaciones bancarias modificadas que actúan como conducto para el malware de Android, dijo Group-IB en un informe técnico publicado el miércoles.
GoldFactory, que se considera activo desde junio de 2023, llamó la atención por primera vez a principios del año pasado cuando la empresa de ciberseguridad con sede en Singapur detalló el uso por parte de los actores de amenazas de familias de malware personalizadas, incluidas GoldPickaxe, GoldDigger y GoldDiggerPlus, que apuntaban a dispositivos Android e iOS.
La evidencia indica que GoldFactory es un grupo cibercriminal organizado de habla china con estrechos vínculos con Gigabud, otro malware de Android descubierto a mediados de 2023. Se ha descubierto que GoldDigger y Gigabud tienen objetivos y páginas de destino similares, a pesar de diferencias significativas en sus bases de código.
Los primeros casos de la última ola de ataques se detectaron en Tailandia, y luego la amenaza apareció en Vietnam entre finales de 2024 y principios de 2025, y en Indonesia desde mediados de 2025 en adelante.
Group-IB dijo que ha identificado más de 300 muestras únicas de aplicaciones bancarias modificadas que han causado aproximadamente 2.200 infecciones en Indonesia. Una investigación más exhaustiva descubrió más de 3.000 artefactos que se cree que causaron más de 11.000 infecciones. Aproximadamente el 63% de las aplicaciones bancarias comprometidas son para el mercado indonesio.
En términos simples, la cadena de infección implica hacerse pasar por una agencia gubernamental o una marca local confiable, acercarse a un objetivo potencial por teléfono e indicarle que haga clic en un enlace enviado a una aplicación de mensajería como Zalo para instalar malware.
En al menos un incidente registrado por Group-IB, los estafadores se hicieron pasar por la compañía pública de electricidad de Vietnam, EVN, e instaron a las víctimas a pagar facturas de electricidad atrasadas o arriesgarse a la suspensión inmediata del servicio. Durante la llamada, el atacante supuestamente le pidió a la víctima que lo agregara a Zalo para recibir un enlace para descargar la aplicación y vincular su cuenta.
Estos enlaces redirigen a las víctimas a páginas de destino falsas disfrazadas de listados de aplicaciones de Google Play Store, lo que resulta en la implementación de troyanos de acceso remoto como Gigabud, MMRat o Remo. Este troyano apareció a principios de este año utilizando las mismas tácticas que GoldFactory. Estos droppers allanaron el camino para la carga útil principal, que explota los servicios de accesibilidad de Android para facilitar el control remoto.
«El malware (…) se basa en la aplicación de banca móvil original», dijeron los investigadores Andrey Polovinkin, Sharmine Low, Ha Thi Thu Nguyen y Pavel Naumov. «Funciona inyectando código malicioso sólo en una parte de la aplicación, permitiendo que la aplicación original mantenga su funcionalidad normal. La funcionalidad del módulo malicioso inyectado puede variar de un objetivo a otro, pero principalmente pasa por alto las características de seguridad de la aplicación original».
Específicamente, funciona conectándose a la lógica de la aplicación para ejecutar malware. Se descubrieron tres familias de malware diferentes según los marcos utilizados por las aplicaciones modificadas para ejecutar enlaces de tiempo de ejecución: FriHook, SkyHook y PineHook. Independientemente de estas diferencias, los módulos tienen funciones superpuestas, lo que le permite:
Ocultar la lista de aplicaciones con servicios de accesibilidad habilitados Evitar la detección de screencasts Falsificar la firma de la aplicación de Android Ocultar la fuente de instalación Implementar un proveedor de token de integridad personalizado y recuperar el saldo de la cuenta de la víctima
SkyHook aprovecha el marco Dobby disponible públicamente para ejecutar ganchos, mientras que FriHook emplea el dispositivo Frida que se inserta en aplicaciones bancarias legítimas. PineHook, como su nombre indica, utiliza un marco de enlace basado en Java llamado Pine.
Group-IB dijo que su análisis de la infraestructura maliciosa construida por GoldFactory también descubrió una versión de prueba previa al lanzamiento de una nueva variante de malware para Android llamada Gigaflower, que probablemente sea un sucesor del malware Gigabud.
Admite aproximadamente 48 comandos que permiten la transmisión de la actividad de la pantalla y del dispositivo en tiempo real mediante WebRTC. Utilice servicios de accesibilidad como armas para el registro de teclas, la lectura de contenido de la interfaz de usuario y la realización de gestos. Recopila información personal proporcionando pantallas falsas que imitan actualizaciones del sistema, solicitudes de PIN y registro de cuentas, y utiliza algoritmos de reconocimiento de texto integrados para extraer datos de imágenes asociadas con tarjetas de identificación.
Actualmente también estamos desarrollando una función de escáner de códigos QR para leer códigos QR en tarjetas de identificación vietnamitas. Presumiblemente, el propósito es simplificar el proceso de recuperación de detalles.
Curiosamente, GoldFactory parece haber abandonado el troyano iOS personalizado y adoptado el enfoque inusual de indicar a las víctimas que tomen prestado un dispositivo Android de un familiar o pariente para continuar el proceso. El desencadenante de este cambio no está claro en este momento, pero se cree que se debe al aumento de las medidas de seguridad y la moderación de la tienda de aplicaciones en iOS.
«Si bien las campañas anteriores se han centrado en abusar de los procesos KYC, la actividad reciente indica que están parcheando directamente aplicaciones bancarias legítimas para cometer fraude», dijeron los investigadores. «La modificación de aplicaciones bancarias confiables utilizando marcos legítimos como Frida, Dobby y Pine representa un enfoque sofisticado y de bajo costo que permite a los ciberdelincuentes eludir la detección tradicional y escalar rápidamente sus operaciones».
Source link
