300 способов потерять деньги. Group-IB раскрыла схему массового заражения Android-смартфонов

leer en español

GoldFactory Group-IB Gigabud Gigaflower Android банковские трояны мобильное мошенничество
300 способов потерять деньги. Group-IB раскрыла схему массового заражения Android-смартфонов
GoldFactory Group-IB Gigabud Gigaflower Android банковские трояны мобильное мошенничество

Злоумышленники используют настолько убедительную маскировку, что жертвы сами предоставляют им доступ к своим финансам.

image

Группировка GoldFactory запустила новую волну атак на пользователей мобильного банкинга в Юго-Восточной Азии. Злоумышленники маскируются под госслужбы и известные компании, распространяя подменённые банковские приложения. По данным Group-IB, заражено уже более 11 тысяч устройств в Индонезии, Таиланде и Вьетнаме.

Активность фиксируется с октября 2024 года, однако GoldFactory действует с лета 2023-го. Ранее о ней стало известно благодаря вредоносным семействам GoldPickaxe, GoldDigger и GoldDiggerPlus. Аналитики связывают группировку с китаеязычной средой и отмечают пересечения с вредоносом Gigabud — совпадают цели и структура фишинговых страниц, несмотря на различия в коде.

Первыми атаки заметили в Таиланде, затем они распространились на Вьетнам и Индонезию. Group-IB выявила более 300 вариантов модифицированных банковских приложений, вызвавших около 2200 заражений в Индонезии. Всего обнаружено свыше 3 тысяч связанных артефактов, приведших к 11 тысячам инфицированных устройств, при этом большинство приложений ориентировано на индонезийский рынок.

Сценарий атак строится на телефонных звонках от имени госорганов или крупных компаний. Жертв убеждают перейти по ссылке, присланной через Zalo, чтобы «решить проблему» с долгами или услугами. Во Вьетнаме преступники представлялись энергокомпанией EVN и просили установить «служебное» приложение. Ссылка вела на поддельную страницу Google Play, откуда загружались вредоносные программы Gigabud, MMRat или Remo. Они давали удалённый доступ к устройству и подготавливали установку основного модуля, использующего сервисы специальных возможностей Android для скрытого управления.

Главная особенность кампании — внедрение вредоносного кода в легальные банковские приложения. По описанию специалистов Group-IB, исходная программа сохраняет внешний вид и функции, а добавленные модули действуют через перехват логики.

Выделено три семейства таких модулей — FriHook, SkyHook и PineHook. Они скрывают приложения с активированными сервисами доступности, маскируют источник установки, подменяют подписи, обходят проверки целостности и получают данные о балансе. SkyHook использует фреймворк Dobby, FriHook — компонент Frida, а PineHook — Java-фреймворк Pine.

Анализ инфраструктуры GoldFactory показал подготовку нового Android-вредоноса Gigaflower, который может стать преемником Gigabud. Он способен транслировать экран устройства через WebRTC, использовать специальные возможности для перехвата нажатий и чтения интерфейса, показывать фальшивые окна с обновлениями и запросами PIN-кода, а также извлекать данные из изображений документов. В планах — добавление сканера QR-кодов на вьетнамских удостоверениях личности.

Заметно и изменение тактики в отношении пользователей iOS. Вместо собственного трояна злоумышленники теперь предлагают жертвам одолжить Android-устройство у родственников. По мнению аналитиков, это связано с усилением защиты и строгой модерацией в экосистеме Apple.

Специалисты отмечают, что GoldFactory отказывается от схем с подменой процедур KYC и всё чаще использует изменённые легальные банковские приложения. Применение фреймворков Frida, Dobby и Pine снижает затраты и позволяет быстро масштабировать операции, что делает кампанию особенно опасной для финансовых учреждений региона.