Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

GoldFactory в Азиатско-Тихоокеанском регионе: Gigaflower и клоны банков

5 мин
Начиная с 2024 года исследователи безопасности из Group-IB фиксируют активность группы, известной как GoldFactory, которая проводит сложные и целенаправленные кампании мобильного мошенничества против банковских клиентов по всему Азиатско‑Тихоокеанскому региону. Злоумышленники комбинируют технические приемы с продуманными социальными инженерными сценариями, что делает атаки особенно опасными для конечных пользователей и финансовых организаций. «операторы клонировали 27 законных банковских приложений в Индонезии, Вьетнаме и Таиланде, внедрив вредоносный код для выполнения своих атак.» Типичная схема начинается с контакта через мессенджер: злоумышленник предлагает «помощь», уведомление о проблеме с аккаунтом или требование пройти «верификацию». После первичного контакта следует звонок, где злоумышленник по шагам инструктирует жертву — вплоть до рекомендации установить приложение или использовать другое устройство. GoldFactory активно использует публичные инструменты тестирования и отладки
Оглавление

Начиная с 2024 года исследователи безопасности из Group-IB фиксируют активность группы, известной как GoldFactory, которая проводит сложные и целенаправленные кампании мобильного мошенничества против банковских клиентов по всему Азиатско‑Тихоокеанскому региону. Злоумышленники комбинируют технические приемы с продуманными социальными инженерными сценариями, что делает атаки особенно опасными для конечных пользователей и финансовых организаций.

Ключевые находки

  • Операторы GoldFactory клонировали 27 легитимных банковских приложений в Индонезии, Вьетнаме и Таиланде и внедрили в них вредоносный код.
  • В кампании используется семейство вредоносного ПО Gigaflower, включая новый экспериментальный вариант с возможностями OCR (распознавания текста) для сканирования удостоверений личности.
  • Злоумышленники активно применяют общедоступные фреймворки — Frida, Dobby и Pine — и специализированные хуки FriHook, SkyHook и PineHook для перехвата и изменения поведения легитимных приложений.
  • Цепочка взаимодействия с жертвой начинается через мессенджеры, затем переходят к телефонным звонкам с инструкциями; в ряде случаев злоумышленники выдают себя за государственные службы, чтобы повысить доверие жертвы.
  • При компрометации устройства злоумышленники налаживают обмен данными в реальном времени через WebRTC, что ускоряет и упрощает управление атакой.
«операторы клонировали 27 законных банковских приложений в Индонезии, Вьетнаме и Таиланде, внедрив вредоносный код для выполнения своих атак.»

Механика атак и социальная инженерия

Типичная схема начинается с контакта через мессенджер: злоумышленник предлагает «помощь», уведомление о проблеме с аккаунтом или требование пройти «верификацию». После первичного контакта следует звонок, где злоумышленник по шагам инструктирует жертву — вплоть до рекомендации установить приложение или использовать другое устройство.

  • Имперсонация государственных сервисов — ключевой элемент доверительной модели: жертве внушают легитимность запроса и необходимость срочных действий.
  • Поощрение перехода на Android — злоумышленники склоняют пользователей iOS к использованию Android-устройств, вероятно, из‑за более жестких ограничений iOS и сложности внедрения вредоносного ПО на iPhone.
  • После установки поддельного приложения вредоносный модуль активирует механизмы перехвата и передачи данных, включая доступ к учетным данным и сканам документов.

Инструменты, техники и возможности вредоносного ПО

GoldFactory активно использует публичные инструменты тестирования и отладки для злоупотребления ими в целях компрометации приложений:

  • Frida, Dobby, Pine — фреймворки, применяемые для динамического вмешательства в работу приложений.
  • FriHook способен обходить проверки целостности приложений; SkyHook использует DobbyHook framework для «подключения» к легитимным процессам и модификации их функциональности; PineHook выполняет аналогичные задачи в своей экосистеме.
  • Gigaflower — семейство вредоносного ПО с расширяемой архитектурой; в новом варианте реализованы экспериментальные модули OCR для автоматизированного считывания данных с ID-карт.
  • Компоненты упаковки (advanced packers) и обратное проектирование легитимных приложений используются для маскировки вредоносного кода и снижения вероятности обнаружения антивирусными средствами.

Инфраструктура распространения

Анализ Group-IB показал, что вредоносные приложения распространялись через домены с открытыми каталогами, что указывает на организованный и структурированный подход к доставке вредоносного ПО. Такой метод упрощает массовое размещение троянов и обновление вредоносных компонентов.

Последствия

Комбинация технических методов (перехват, обход проверок, упаковка) и выверенных социальных сценариев делает кампанию GoldFactory высокой степенью опасности для банковских клиентов в регионе. Кража учетных данных, сканов документов и доступ к аккаунтам приводит к прямым финансовым потерям и рискам мошенничества с идентичностью.

Рекомендации

Для минимизации рисков экспертная команда рекомендует следующие практики:

  • Пользователям:Не устанавливать приложения из непроверенных источников и не переходить по сомнительным ссылкам из сообщений.
    Игнорировать настойчивые требования «срочной верификации» через сторонние мессенджеры и звонки.
    Не передавать сканы документов по запросу, если вы не уверены в легитимности источника; при сомнениях связываться с организацией по официальным каналам.
    Использовать двухфакторную аутентификацию и проверять авторизованные устройства в настройках аккаунтов.
  • Банкам и разработчикам мобильных приложений:Повысить контроль целостности приложений и внедрять механизмы обнаружения попыток динамической инъекции (Frida, Dobby и т.п.).
    Мониторить распространение клонов приложений в сторонних доменах и оперативно инициировать их блокировку через регистраторов и провайдеров хостинга.
    Информировать клиентов о типичных сценариях мошенничества и официальных каналах коммуникации.
    Рассмотреть дополнительные меры защиты для iOS и Android, включая серверную валидацию критичных операций и ограничение возможности эмуляции/отладки.
  • Командам по безопасности:Проанализировать появление подозрительных доменов с открытыми директориями и отследить инфраструктуру распространения.
    Отслеживать сигнатуры новых вариантов     Gigaflower и связанных с ним хуков (FriHook, SkyHook, PineHook).

Вывод

Дело GoldFactory иллюстрирует современную тенденцию: злоумышленники сочетают мощные инструменты динамического вмешательства с отработанными методами социальной инженерии. Это повышает эффективность атак и сложность их обнаружения. В условиях постоянной эволюции угроз необходима скоординированная работа пользователей, финансовых организаций и специалистов по безопасности для своевременного обнаружения и нейтрализации подобных кампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "GoldFactory в Азиатско-Тихоокеанском регионе: Gigaflower и клоны банков".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Финансовые мошенничества
343 тыс интересуются