Мошенническая фабрика: GoldFactory превращает банковские приложения в инструменты для кражи

Группа киберпреступников под названием GoldFactory продолжает наращивать масштабы и изощренность своих мобильных мошеннических кампаний в Азиатско-Тихоокеанском регионе. Исследователи Group-IB представили новый анализ, демонстрирующий эволюцию их тактик, включая прямое внедрение вредоносного кода в легитимные банковские приложения и использование новых вариантов троянских программ, таких как Gigaflower. Активности группировки зафиксированы в Индонезии, Вьетнаме и Таиланде, при этом количество пострадавших финансовых организаций, по оценкам экспертов, может быть значительно выше известного.

Описание

Стратегия атак GoldFactory основана на фишинге и социальной инженерии. Злоумышленники выдают себя за представителей государственных служб, чтобы завоевать доверие жертв. Например, во Вьетнаме они маскировались под сотрудников национального электроснабжающего предприятия EVN или представителей Министерства общественной безопасности. В Индонезии мошенники, представляясь сотрудниками департамента по вопросам народонаселения, убеждали граждан в срочной необходимости обновить физические удостоверения личности до «цифровых ID». Под предлогом решения этих фиктивных проблем жертв заставляли скачивать вредоносные приложения через поддельные страницы, имитирующие Google Play или официальные государственные порталы.

Техническая сторона атак демонстрирует высокий уровень подготовки. Вместо создания троянцев с нуля GoldFactory модифицирует оригинальные банковские приложения, внедряя в них вредоносный функционал. Для этого используются общедоступные фреймворки для перехвата и изменения поведения приложений, такие как Frida, Dobby и Pine. Исследователи Group-IB классифицируют созданные семейства вредоносного ПО как FriHook, SkyHook и PineHook в зависимости от примененного инструмента.

Модифицированные приложения сохраняют легитимный функционал, но при этом получают возможность обходить системы безопасности. Вредоносный модуль запускается раньше основного приложения, накладывая «хуки» для подмены логики его работы. Среди ключевых возможностей таких модулей - сокрытие источника установки приложения, подмена цифровой подписи, обход проверок целостности, а также маскировка факта включения специальных возможностей (Accessibility Services), которые часто используются для удаленного контроля.

Инфекционная цепочка обычно состоит из двух этапов. Сначала на устройство жертвы через фишинговую ссылку устанавливается троянец-дроппер, такой как Gigabud, Remo или MMRat. Затем этот первичный загрузчик устанавливает модифицированное банковское приложение (например, SkyHook). Телеметрия Group-IB Fraud Protection зафиксировала тысячи инфицированных устройств по всему Азиатско-Тихоокеанскому региону, подтверждая активность этой схемы.

Особое внимание исследователей привлек новый образец, условно названный Gigaflower. Он представляет собой обновленную версию троянца Gigabud и находится в стадии разработки. Предварительный анализ кода показывает, что злоумышленники экспериментируют с добавлением функций автоматического распознавания текста и сканирования QR-кодов с изображений удостоверений личности, что упрощает сбор конфиденциальных данных. Кроме того, группировка полностью перешла на использование технологии WebRTC для потоковой передачи экрана и удаленного управления, что обеспечивает минимальную задержку.

Анализ инфраструктуры выявил связь между различными компонентами кампании. Модифицированные приложения и троянцы-дропперы зачастую размещаются на одних и тех же хостингах, а в их коде обнаруживаются прямые совпадения. Это указывает на скоординированные действия одной группы - GoldFactory. Эксперты полагают, что отказ от целевых троянцев для iOS в пользу инструкций по использованию Android-устройств родственников может быть связан с ужесточением мер безопасности в экосистеме Apple.

Для противодействия подобным угрозам необходимы комплексные меры. Со стороны организаций критически важны постоянный мониторинг инцидентов, анализ поведения приложений и внедрение современных решений для защиты от мошенничества. Пользователям следует проявлять повышенную бдительность, не переходить по сомнительным ссылкам в сообщениях и никогда не устанавливать приложения из неофициальных источников, даже если звонящий представляется сотрудником государственной службы. Эволюция тактик групп вроде GoldFactory показывает, что киберпреступники постоянно адаптируются, а значит, и защита должна быть проактивной и многоуровневой.