0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Праздник деклараций. Мошенники устроили распродажу данных в разгар налогового сезона

leer en español

Group-IB GoldFactory Gigabud.RAT MMRat Coretax Android-трояны фишинг
Праздник деклараций. Мошенники устроили распродажу данных в разгар налогового сезона
Group-IB GoldFactory Gigabud.RAT MMRat Coretax Android-трояны фишинг

Банковские счета стали открытыми входами для чужаков.

image

В Индонезии выявили масштабную мошенническую кампанию, замаскированную под официальный налоговый сервис Coretax. Злоумышленники использовали поддельные мобильные приложения и выстроили инфраструктуру, которая позволила атаковать не только налогоплательщиков, но и пользователей десятков других цифровых сервисов. По оценке специалистов компании Group-IB, общий финансовый ущерб в стране мог достигать от 1,5 до 2 млн долларов.

Coretax — это официальный веб-сервис налоговой службы Индонезии, доступный только через сайт. Мобильного приложения у платформы нет. Тем не менее с июля 2025 года в сети начали распространяться APK-файлы с названием «Coretax». В январе 2026 года, в разгар налогового сезона, активность резко выросла. Кампания была синхронизирована с периодом подачи деклараций и ориентировалась примерно на 67 млн налоговых резидентов.

Атака строилась поэтапно. Сначала жертве писали в WhatsApp от имени налогового ведомства и присылали ссылку на загрузку приложения. После установки устройство на время «зависало», а вредоносная программа собирала данные и загружала дополнительные модули. Затем следовал звонок — мошенник, представляясь сотрудником службы, требовал срочно оплатить «задолженность». Во время разговора троян записывал экран, перехватывал логины, одноразовые коды и другие банковские данные. После этого злоумышленники получали удалённый доступ к смартфону и переводили деньги через сеть подставных счетов.

Анализ показал, что за кампанией стоит кластер GoldFactory. Вредоносная инфраструктура использовала несколько семейств Android-троянов. Среди них — Gigabud.RAT и MMRat, а также ранее не описанная группа образцов, получившая название Taotie. Всего выявили 228 новых модификаций. Оба основных трояна способны записывать экран, злоупотреблять сервисами специальных возможностей и обходить многофакторную аутентификацию, что позволяет проводить переводы прямо с заражённого устройства.

Инфраструктура не ограничивалась одним брендом. Те же серверы и шаблоны фишинговых страниц применяли для подделки более 16 известных сервисов — от систем лицензирования бизнеса до авиакомпаний и государственных программ. Специалисты обнаружили 996 доменов, созданных по единому шаблону и нацеленных также на пользователей в Таиланде, Вьетнаме, на Филиппинах и в Южной Африке. По расчётам, только в январе 2026 года прямые потери в Индонезии могли составить до 340 тыс. долларов, а при учёте всех затронутых сервисов — до 2 млн.

В компании заявили, что среди клиентов, использующих их системы защиты, доля успешных хищений составила 0,027 процента от числа заражённых устройств. Такой результат связывают с поведенческим анализом, сопоставлением телеметрии устройств и ранним выявлением фишинговой инфраструктуры.

Кампания вокруг Coretax показала, что единая вредоносная платформа позволяет быстро масштабировать атаки на целые национальные экосистемы. Под удар попадают не только банковские счета, но и доверие к цифровым государственным сервисам, без которого дальнейшая цифровизация оказывается под вопросом.