Специалисты компании Group-IB, штаб-квартира которой находится в Сингапуре, опубликовали технический отчет о новой волне кибератак, нацеленных на пользователей мобильных устройств в Юго-Восточной Азии. Ответственность за инциденты возлагается на финансово мотивированную и хорошо организованную китайскоязычную группу GoldFactory. Злоумышленники используют модифицированные банковские приложения для Android, что привело к заражению не менее 11 000 устройств. Исследователи обнаружили более 300 уникальных образцов вредоносного ПО и свыше 3000 артефактов, связанных с этой кампанией.
География атак охватывает Индонезию, Таиланд и Вьетнам, причем основное внимание хакеры уделяют индонезийскому рынку. Согласно данным отчета, около 63% всех выявленных модифицированных приложений предназначены именно для Индонезии, где зафиксировано почти 2200 случаев заражения. Активность группировки GoldFactory прослеживается с июня 2023 года, когда Group-IB впервые детально описала их ранние семейства вредоносных программ. Нынешняя волна атак началась в октябре 2024 года. В Таиланде были зафиксированы первые случаи, во Вьетнаме угроза проявилась в конце 2024 и начале 2025 года, а в Индонезии активность наблюдается с середины 2025 года.
Схема заражения начинается со сложной социальной инженерии. Мошенники выдают себя за государственные органы или доверенные местные бренды. В частности, был зафиксирован случай, когда злоумышленники представлялись сотрудниками EVN, государственной энергетической компании Вьетнама. Жертвам угрожали отключением электричества за якобы просроченные счета и инструктировали добавить контакт в мессенджере Zalo. Через Zalo пользователи получали ссылки, ведущие на поддельные страницы, имитирующие Google Play Store, откуда скачивалось вредоносное ПО.
Первоначальная загрузка представляет собой троян удаленного доступа (RAT), действующий как «дроппер». Для этой цели используются семейства вредоносных программ Gigabud, MMRat или Remo. Основная задача этих дропперов — подготовить почву для установки главной полезной нагрузки: модифицированного банковского приложения. Злоумышленники используют технику «Runtime Hooking» (перехват выполнения), внедряя вредоносный код непосредственно в легитимные приложения. Это позволяет сохранить нормальную функциональность программы, одновременно обходя системы безопасности.
Для реализации перехвата GoldFactory применяет три основных фреймворка. FriHook использует гаджет Frida, внедренный в легитимное приложение. SkyHook базируется на общедоступном фреймворке Dobby, а PineHook использует Java-фреймворк под названием Pine. Эти инструменты наделяют вредоносное ПО широкими возможностями: скрытие списка приложений с включенными службами специальных возможностей, предотвращение обнаружения записи экрана, подделка подписей приложений Android, сокрытие источника установки и получение баланса счета жертвы.
Исследователи Андрей Половинкин, Шармин Лоу, Ха Тхи Тху Нгуен и Павел Наумов также обнаружили предварительную тестовую сборку нового вредоносного ПО под названием Gigaflower. Оно считается вероятным преемником Gigabud и поддерживает около 48 команд. Gigaflower обладает функциями потоковой передачи активности экрана в реальном времени через WebRTC, кейлоггинга, чтения содержимого пользовательского интерфейса и выполнения жестов. Особое внимание привлекают функции оптического распознавания символов (OCR) для извлечения данных из фотографий удостоверений личности и сканер QR-кодов, нацеленный на вьетнамские ID-карты.
Группировка GoldFactory продемонстрировала значительное изменение стратегии, отказавшись от своего уникального трояна для iOS. Вместо разработки сложного ПО для этой платформы, мошенники теперь используют методы социальной инженерии, убеждая владельцев iPhone одолжить устройство Android у родственников. Это решение, вероятно, обусловлено более строгими мерами безопасности и модерацией в экосистеме Apple. Эволюция тактики также показывает переход от эксплуатации процессов KYC (Know Your Customer) к прямому патчингу легитимных приложений для совершения мошенничества. Ранее группа была связана с семействами вредоносного ПО GoldPickaxe, GoldDigger и GoldDiggerPlus.
Изображение носит иллюстративный характер
География атак охватывает Индонезию, Таиланд и Вьетнам, причем основное внимание хакеры уделяют индонезийскому рынку. Согласно данным отчета, около 63% всех выявленных модифицированных приложений предназначены именно для Индонезии, где зафиксировано почти 2200 случаев заражения. Активность группировки GoldFactory прослеживается с июня 2023 года, когда Group-IB впервые детально описала их ранние семейства вредоносных программ. Нынешняя волна атак началась в октябре 2024 года. В Таиланде были зафиксированы первые случаи, во Вьетнаме угроза проявилась в конце 2024 и начале 2025 года, а в Индонезии активность наблюдается с середины 2025 года.
Схема заражения начинается со сложной социальной инженерии. Мошенники выдают себя за государственные органы или доверенные местные бренды. В частности, был зафиксирован случай, когда злоумышленники представлялись сотрудниками EVN, государственной энергетической компании Вьетнама. Жертвам угрожали отключением электричества за якобы просроченные счета и инструктировали добавить контакт в мессенджере Zalo. Через Zalo пользователи получали ссылки, ведущие на поддельные страницы, имитирующие Google Play Store, откуда скачивалось вредоносное ПО.
Первоначальная загрузка представляет собой троян удаленного доступа (RAT), действующий как «дроппер». Для этой цели используются семейства вредоносных программ Gigabud, MMRat или Remo. Основная задача этих дропперов — подготовить почву для установки главной полезной нагрузки: модифицированного банковского приложения. Злоумышленники используют технику «Runtime Hooking» (перехват выполнения), внедряя вредоносный код непосредственно в легитимные приложения. Это позволяет сохранить нормальную функциональность программы, одновременно обходя системы безопасности.
Для реализации перехвата GoldFactory применяет три основных фреймворка. FriHook использует гаджет Frida, внедренный в легитимное приложение. SkyHook базируется на общедоступном фреймворке Dobby, а PineHook использует Java-фреймворк под названием Pine. Эти инструменты наделяют вредоносное ПО широкими возможностями: скрытие списка приложений с включенными службами специальных возможностей, предотвращение обнаружения записи экрана, подделка подписей приложений Android, сокрытие источника установки и получение баланса счета жертвы.
Исследователи Андрей Половинкин, Шармин Лоу, Ха Тхи Тху Нгуен и Павел Наумов также обнаружили предварительную тестовую сборку нового вредоносного ПО под названием Gigaflower. Оно считается вероятным преемником Gigabud и поддерживает около 48 команд. Gigaflower обладает функциями потоковой передачи активности экрана в реальном времени через WebRTC, кейлоггинга, чтения содержимого пользовательского интерфейса и выполнения жестов. Особое внимание привлекают функции оптического распознавания символов (OCR) для извлечения данных из фотографий удостоверений личности и сканер QR-кодов, нацеленный на вьетнамские ID-карты.
Группировка GoldFactory продемонстрировала значительное изменение стратегии, отказавшись от своего уникального трояна для iOS. Вместо разработки сложного ПО для этой платформы, мошенники теперь используют методы социальной инженерии, убеждая владельцев iPhone одолжить устройство Android у родственников. Это решение, вероятно, обусловлено более строгими мерами безопасности и модерацией в экосистеме Apple. Эволюция тактики также показывает переход от эксплуатации процессов KYC (Know Your Customer) к прямому патчингу легитимных приложений для совершения мошенничества. Ранее группа была связана с семействами вредоносного ПО GoldPickaxe, GoldDigger и GoldDiggerPlus.
