Ciberdelincuentes afiliados a un grupo con motivación financiera llamado fábrica de oro Se les vio llevando a cabo una nueva ronda de ataques contra usuarios de móviles en Indonesia, Tailandia y Vietnam haciéndose pasar por servicios gubernamentales.
La actividad observada desde octubre de 2024 incluye la distribución de aplicaciones bancarias modificadas que actúan como conducto para el malware de Android, dijo Group-IB en un informe técnico publicado el miércoles.
GoldFactory fue identificado como activo en junio de 2023 y llamó la atención por primera vez a principios del año pasado cuando la empresa de ciberseguridad con sede en Singapur detalló el uso por parte del actor de amenazas de familias de malware personalizadas como GoldPickaxe, GoldDigger y GoldDiggerPlus, que apuntaban a dispositivos Android e iOS.
Hay evidencia de que GoldFactory es un grupo de cibercrimen de habla china bien organizado con estrechos vínculos con Gigabud, otro malware de Android descubierto a mediados de 2023. A pesar de las grandes diferencias en sus bases de código, se descubrió que tanto GoldDigger como Gigabud compartían similitudes en sus objetivos de suplantación y páginas de destino.
Los primeros casos de la última ola de ataques se descubrieron en Tailandia, luego la amenaza apareció en Vietnam a finales de 2024 y principios de 2025 y en Indonesia a partir de mediados de 2025.
Group-IB dijo que identificó más de 300 muestras únicas de aplicaciones bancarias modificadas que resultaron en casi 2.200 infecciones en Indonesia. Una investigación más exhaustiva descubrió más de 3.000 artefactos que, según se dice, provocaron hasta 11.000 infecciones. Alrededor del 63% de las distintas aplicaciones bancarias se dirigen al mercado indonesio.
En resumen, las cadenas de infección implican hacerse pasar por agencias gubernamentales y marcas locales confiables y contactar objetivos potenciales por teléfono para engañarlos para que instalen malware indicándoles que hagan clic en un enlace enviado a través de aplicaciones de mensajería como Zalo.
En al menos un caso documentado por Group-IB, los estafadores se hicieron pasar por la empresa pública de energía EVN de Vietnam y pidieron a las víctimas que pagaran facturas de electricidad atrasadas o se arriesgaban a la suspensión inmediata del servicio. Durante la llamada, los actores de amenazas supuestamente pidieron a las víctimas que los agregaran a Zalo para recibir un enlace para descargar una aplicación y vincular sus cuentas.
Los enlaces redirigen a las víctimas a páginas de destino falsas que se hacen pasar por listados de aplicaciones de Google Play Store, lo que resulta en la entrega de un troyano de acceso remoto como Gigabud, MMRat o Remo, que surgió a principios de este año utilizando las mismas tácticas que GoldFactory. Estos droppers luego allanan el camino para la carga útil principal que abusa de los servicios de accesibilidad de Android para permitir el control remoto.
“El malware (…) se basa en las aplicaciones bancarias móviles originales”, dijeron los investigadores Andrey Polovinkin, Sharmine Low, Ha Thi Thu Nguyen y Pavel Naumov. “Funciona inyectando código malicioso sólo en una parte de la aplicación, permitiendo que la aplicación original conserve su funcionalidad normal. La funcionalidad de los módulos maliciosos inyectados puede variar de un objetivo a otro, pero principalmente pasa por alto las características de seguridad de la aplicación original”.
Específicamente, funciona conectándose a la lógica de la aplicación para ejecutar el malware. Según los marcos utilizados en las aplicaciones modificadas para realizar el enlace en tiempo de ejecución, se descubrieron tres familias de malware diferentes: FriHook, SkyHook y PineHook. Independientemente de estas diferencias, las funcionalidades de los módulos se superponen, permitiendo lo siguiente:
- Ocultar la lista de aplicaciones que tienen funciones de accesibilidad habilitadas
- Evitar la detección de screencast
- Falsificar la firma de una aplicación de Android
- Ocultar la fuente de instalación
- Implementar proveedores de tokens de salud personalizados y
- Obtener el saldo de la cuenta de la víctima.
Mientras que SkyHook usa el marco Dobby disponible públicamente para ejecutar los ganchos, FriHook usa un dispositivo Frida insertado en la aplicación bancaria legítima. PineHook, como su nombre indica, utiliza un marco de enlace basado en Java llamado Pine.
Group-IB dijo que su análisis de la infraestructura maliciosa construida por GoldFactory también descubrió una versión de prueba prelanzada de una nueva variante de malware para Android llamada Gigaflower, que probablemente sea un sucesor del malware Gigabud.
Admite alrededor de 48 comandos para permitir la transmisión de actividades de pantalla y dispositivo en tiempo real mediante WebRTC. convertir en armas los servicios de accesibilidad para el registro de teclas, la lectura de contenido de la interfaz de usuario y la realización de gestos; Implemente pantallas falsas para imitar actualizaciones del sistema, solicitudes de PIN y registros de cuentas para recopilar información personal y extraer datos de imágenes vinculadas a tarjetas de identificación utilizando un algoritmo de reconocimiento de texto integrado.
Actualmente también se está trabajando en una función de escáner de códigos QR que intenta leer el código QR en las tarjetas de identificación vietnamitas, probablemente con el objetivo de simplificar el proceso de recopilación de datos.
Curiosamente, GoldFactory parece haber abandonado su troyano iOS personalizado en favor de un enfoque inusual que ahora indica a las víctimas que tomen prestado un dispositivo Android de un familiar o pariente para continuar el proceso. Actualmente no está claro qué desencadenó el cambio, pero se cree que se debe a medidas de seguridad más estrictas y a la moderación de la App Store en iOS.
“Si bien las campañas anteriores se centraron en explotar los procesos KYC, la actividad reciente muestra que las aplicaciones bancarias legítimas están siendo parcheadas directamente para cometer fraude”, dijeron los investigadores. “El uso de marcos legítimos como Frida, Dobby y Pine para modificar aplicaciones bancarias confiables representa un enfoque sofisticado pero rentable que permite a los ciberdelincuentes evadir la detección tradicional y escalar rápidamente sus operaciones”.
About The Author
