Cibercriminosos ligados ao grupo financeiro GoldFactory vêm realizando uma nova série de ataques a usuários móveis na Indonésia, Tailândia e Vietnã, se passando por serviços governamentais.
A ação, identificada desde outubro de 2024, envolve a distribuição de versões modificadas de aplicativos bancários que servem como vetor para malware em dispositivos Android, segundo relatório técnico da Group-IB divulgado na última quarta-feira.
Ativo desde junho de 2023, o GoldFactory ganhou notoriedade no início do ano passado, quando a empresa de cibersegurança sediada em Cingapura revelou o uso de famílias de malware customizadas, como GoldPickaxe, GoldDigger e GoldDiggerPlus, que atacam tanto Android quanto iOS.
Evidências indicam que o grupo é uma organização chinesa bem estruturada, com conexões próximas ao malware Gigabud, detectado em meados de 2023.
Apesar das diferenças significativas no código, GoldDigger e Gigabud compartilham semelhanças nos alvos de falsificação e nas páginas de destino.
A primeira detecção do atual ciclo de ataques ocorreu na Tailândia, com a ameaça se estendendo para o Vietnã no final de 2024 e início de 2025, e chegando à Indonésia a partir de meados de 2025.
A Group-IB identificou mais de 300 amostras únicas de aplicativos bancários adulterados, que resultaram em cerca de 2.200 infecções na Indonésia.
Em investigações adicionais, foram encontrados mais de 3.000 artefatos relacionados a essas campanhas, totalizando pelo menos 11.000 infecções.
Cerca de 63% dos apps modificados têm como alvo o mercado indonésio.
As cadeias de infecção geralmente envolvem a personificação de órgãos governamentais e marcas locais confiáveis.
Os criminosos abordam as vítimas por telefone, induzindo-as a instalar o malware por meio de links enviados via aplicativos de mensagem, como o Zalo.
Em um caso documentado, os golpistas se apresentaram como a empresa pública de energia do Vietnã (EVN), ameaçando interromper serviços por contas atrasadas e solicitando que a vítima adicionasse o contato no Zalo para receber o link de download.
Os links levam a páginas falsas que imitam a interface do Google Play Store, liberando trojans de acesso remoto como Gigabud, MMRat ou Remo — este último detectado no início do ano com táticas similares.
Esses droppers preparam o terreno para a instalação do payload principal, que usa os serviços de acessibilidade do Android para possibilitar o controle remoto do dispositivo.
O malware é uma modificação dos aplicativos bancários originais, com código malicioso injetado apenas em partes específicas do app para manter suas funções legítimas intactas.
As operações desses módulos variam conforme o alvo, mas o objetivo principal é burlar as proteções de segurança do aplicativo original, explicam os pesquisadores Andrey Polovinkin, Sharmine Low, Ha Thi Thu Nguyen e Pavel Naumov.
O funcionamento se dá por meio de técnicas de runtime hooking, explorando a lógica interna dos apps para ativar o malware.
Três famílias de malware foram identificadas, cada uma usando um framework distinto: FriHook, SkyHook e PineHook.
Apesar das diferenças, suas funcionalidades convergem para esconder a lista de apps com serviços de acessibilidade ativados, impedir a detecção por screencast, falsificar assinaturas de aplicativos, ocultar a origem da instalação, fornecer tokens de integridade personalizados e capturar o saldo das vítimas.
Enquanto o SkyHook utiliza o framework público Dobby para executar hooks, o FriHook emprega um gadget Frida injetado dentro do app bancário legítimo.
Já o PineHook funciona com o framework Java Pine, conforme o próprio nome indica.
Ainda segundo a Group-IB, a análise da infraestrutura maliciosa do GoldFactory revelou uma versão preliminar de uma nova variante de malware para Android chamada Gigaflower, que deve suceder o Gigabud.
Essa nova versão suporta cerca de 48 comandos para transmitir em tempo real a tela e a atividade do dispositivo via WebRTC, abusar dos serviços de acessibilidade para keylogging, leitura da interface e gestos, além de exibir telas falsas que imitam atualizações do sistema, solicitações de PIN e registros de conta para roubo de dados.
Um recurso em desenvolvimento é um scanner de QR Code que busca ler códigos presentes em documentos de identidade vietnamitas, provavelmente para facilitar a extração de informações pessoais.
Curiosamente, o GoldFactory aparentemente abandonou seu trojan customizado para iOS, optando por instruir as vítimas a usarem dispositivos Android de familiares para continuar o processo.
Acredita-se que essa mudança tenha sido motivada pelas políticas mais rígidas de segurança e moderação nas lojas de aplicativos da Apple.
“Enquanto campanhas anteriores exploravam processos de KYC (Know Your Customer), a atividade recente evidencia a modificação direta de aplicativos bancários legítimos para fraude”, destacam os pesquisadores.
“O uso de frameworks legítimos como Frida, Dobby e Pine para alterar apps confiáveis demonstra um método sofisticado, porém de baixo custo, que permite aos criminosos contornar detecções tradicionais e escalar rapidamente suas operações.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...