300 способов потерять деньги. Group-IB раскрыла схему массового заражения Android-смартфонов
NewsMakerЗлоумышленники используют настолько убедительную маскировку, что жертвы сами предоставляют им доступ к своим финансам.
Группировка GoldFactory запустила новую волну атак на пользователей мобильного банкинга в Юго-Восточной Азии. Злоумышленники маскируются под госслужбы и известные компании, распространяя подменённые банковские приложения. По данным Group-IB, заражено уже более 11 тысяч устройств в Индонезии, Таиланде и Вьетнаме.
Активность фиксируется с октября 2024 года, однако GoldFactory действует с лета 2023-го. Ранее о ней стало известно благодаря вредоносным семействам GoldPickaxe , GoldDigger и GoldDiggerPlus. Аналитики связывают группировку с китаеязычной средой и отмечают пересечения с вредоносом Gigabud — совпадают цели и структура фишинговых страниц, несмотря на различия в коде.
Первыми атаки заметили в Таиланде, затем они распространились на Вьетнам и Индонезию. Group-IB выявила более 300 вариантов модифицированных банковских приложений, вызвавших около 2200 заражений в Индонезии. Всего обнаружено свыше 3 тысяч связанных артефактов, приведших к 11 тысячам инфицированных устройств, при этом большинство приложений ориентировано на индонезийский рынок.
Сценарий атак строится на телефонных звонках от имени госорганов или крупных компаний. Жертв убеждают перейти по ссылке, присланной через Zalo, чтобы «решить проблему» с долгами или услугами. Во Вьетнаме преступники представлялись энергокомпанией EVN и просили установить «служебное» приложение. Ссылка вела на поддельную страницу Google Play, откуда загружались вредоносные программы Gigabud, MMRat или Remo. Они давали удалённый доступ к устройству и подготавливали установку основного модуля, использующего сервисы специальных возможностей Android для скрытого управления.
Группировка GoldFactory запустила новую волну атак на пользователей мобильного банкинга в Юго-Восточной Азии. Злоумышленники маскируются под госслужбы и известные компании, распространяя подменённые банковские приложения. По данным Group-IB, заражено уже более 11 тысяч устройств в Индонезии, Таиланде и Вьетнаме.
Активность фиксируется с октября 2024 года, однако GoldFactory действует с лета 2023-го. Ранее о ней стало известно благодаря вредоносным семействам GoldPickaxe , GoldDigger и GoldDiggerPlus. Аналитики связывают группировку с китаеязычной средой и отмечают пересечения с вредоносом Gigabud — совпадают цели и структура фишинговых страниц, несмотря на различия в коде.
Первыми атаки заметили в Таиланде, затем они распространились на Вьетнам и Индонезию. Group-IB выявила более 300 вариантов модифицированных банковских приложений, вызвавших около 2200 заражений в Индонезии. Всего обнаружено свыше 3 тысяч связанных артефактов, приведших к 11 тысячам инфицированных устройств, при этом большинство приложений ориентировано на индонезийский рынок.
Сценарий атак строится на телефонных звонках от имени госорганов или крупных компаний. Жертв убеждают перейти по ссылке, присланной через Zalo, чтобы «решить проблему» с долгами или услугами. Во Вьетнаме преступники представлялись энергокомпанией EVN и просили установить «служебное» приложение. Ссылка вела на поддельную страницу Google Play, откуда загружались вредоносные программы Gigabud, MMRat или Remo. Они давали удалённый доступ к устройству и подготавливали установку основного модуля, использующего сервисы специальных возможностей Android для скрытого управления.