Gigabud - это троянец удаленного доступа (RAT) для Android, активный как минимум с середины 2022 года и впервые обнаруженный в январе 2023 года. Ориентированный на кражу банковских данных у жителей Юго-Восточной Азии, он изначально имитировал приложение местной авиакомпании, но позже перешел на другие страны, например Перу, а также изменил функциональность на подделку вредоносного ПО для выдачи кредитов.
Gigabud написан на языке Kotlin и обфусцирован с помощью Dexguard, а затем Virbox. Его различные версии имитируют приложения, созданные, в частности, компаниями из Таиланда и Перу. При запуске приложение показывает экран входа в приложение, которое оно имитирует, и затем отправляет учетные данные вместе с информацией об устройстве в C2. Далее появляется виртуальный помощник, который предлагает жертве подать заявку на кредит.
Далее он просит включить функцию доступности, если она еще не включена. Это нужно для кражи учетных данных и имитации сенсорных событий для обхода 2FA.
Помимо кражи учетных данных, Gigabud встраивает модуль записи экрана. Основной функцией является кража учетных данных с зараженного устройства. Для этого он транслирует экран на C2 через WebSocket или RTMP.
Gigabud содержит различные артефакты на китайском языке. Например, сообщения журнала написаны на китайском, подпись APK - на китайском, а серверы C2 расположены в Китае.
Indicators of Compromise
MD5
- 043020302ea8d134afbd5bd37c05d2a8
- 0677a090eb28837b1bbf3e6ab1822fdd
- 0960de9d425b5157720f59c2901d4e3b