Ciberdelincuentes asociados con un grupo con motivación financiera conocido como fábrica de oro Se ha observado que se ha organizado una nueva ronda de ataques dirigidos a usuarios de dispositivos móviles en Indonesia, Tailandia y Vietnam haciéndose pasar por servicios gubernamentales.
La actividad, observada desde octubre de 2024, implica la distribución de aplicaciones bancarias modificadas que actúan como conducto para el malware de Android, dijo Group-IB en un informe técnico publicado el miércoles.
GoldFactory, que se evaluó como activo desde junio de 2023, llamó la atención por primera vez a principios del año pasado, cuando la empresa de ciberseguridad con sede en Singapur detalló el uso por parte del actor de amenazas de familias de malware personalizadas como GoldPickaxe, GoldDigger y GoldDiggerPlus dirigidos a dispositivos Android e iOS.
La evidencia apunta a que GoldFactory es un grupo de cibercrimen de habla china bien organizado con estrechas conexiones con Gigabud, otro malware para Android que se detectó a mediados de 2023. A pesar de las grandes disparidades en sus bases de código, se ha descubierto que tanto GoldDigger como Gigabud comparten similitudes en sus objetivos de suplantación y páginas de destino.
Los primeros casos de la última ola de ataques se detectaron en Tailandia, y la amenaza apareció posteriormente en Vietnam a finales de 2024 y principios de 2025 y en Indonesia a partir de mediados de 2025.
Group-IB dijo que ha identificado más de 300 muestras únicas de aplicaciones bancarias modificadas que han provocado casi 2.200 infecciones en Indonesia. Investigaciones adicionales han descubierto más de 3.000 artefactos que, según se dijo, provocaron no menos de 11.000 infecciones. Alrededor del 63% de las aplicaciones bancarias modificadas se dirigen al mercado indonesio.
Las cadenas de infección, en pocas palabras, implican la suplantación de entidades gubernamentales y marcas locales confiables y el acercamiento a posibles objetivos por teléfono para engañarlos para que instalen malware indicándoles que hagan clic en un enlace enviado en aplicaciones de mensajería como Zalo.
En al menos un caso documentado por Group-IB, los estafadores se hicieron pasar por la empresa pública de energía de Vietnam, EVN, e instaron a las víctimas a pagar facturas de electricidad atrasadas o correr el riesgo de enfrentar la suspensión inmediata del servicio. Durante la llamada, se dice que los actores de amenazas pidieron a las víctimas que los agregaran a Zalo para recibir un enlace para descargar una aplicación y vincular sus cuentas.
Los enlaces redirigen a las víctimas a páginas de destino falsas que se hacen pasar por listados de aplicaciones de Google Play Store, lo que resulta en la implementación de un troyano de acceso remoto como Gigabud, MMRat o Remo, que apareció a principios de este año usando las mismas tácticas que GoldFactory. Estos droppers luego allanan el camino para la carga útil principal que abusa de los servicios de accesibilidad de Android para facilitar el control remoto.
«El malware (…) se basa en las aplicaciones bancarias móviles originales», dijeron los investigadores Andrey Polovinkin, Sharmine Low, Ha Thi Thu Nguyen y Pavel Naumov. «Funciona inyectando código malicioso sólo en una parte de la aplicación, permitiendo que la aplicación original conserve su funcionalidad normal. La funcionalidad de los módulos maliciosos inyectados puede diferir de un objetivo a otro, pero principalmente pasa por alto las características de seguridad de la aplicación original».
Específicamente, funciona conectándose a la lógica de la aplicación para ejecutar el malware. Se han descubierto tres familias de malware diferentes según los marcos utilizados en las aplicaciones modificadas para realizar el enlace en tiempo de ejecución: FriHook, SkyHook y PineHook. Independientemente de estas diferencias, la funcionalidad de los módulos se superpone, lo que permite:
- Ocultar la lista de aplicaciones que tienen habilitados los servicios de accesibilidad
- Evitar la detección de screencast
- Falsificar la firma de una aplicación de Android
- Ocultar la fuente de instalación
- Implementar proveedores de tokens de integridad personalizados y
- Obtener el saldo de la cuenta de las víctimas.
Mientras que SkyHook utiliza el marco Dobby disponible públicamente para ejecutar los ganchos, FriHook emplea un dispositivo Frida que se inyecta en la aplicación bancaria legítima. PineHook, como su nombre lo indica, utiliza un marco de enlace basado en Java llamado Pine.
Group-IB dijo que su análisis de la infraestructura maliciosa construida por GoldFactory también descubrió una versión de prueba previa al lanzamiento de una nueva variante de malware para Android denominada Gigaflower que probablemente sea un sucesor del malware Gigabud.
Admite alrededor de 48 comandos para permitir la transmisión de actividad de la pantalla y del dispositivo en tiempo real mediante WebRTC; convertir en armas los servicios de accesibilidad para el registro de teclas, la lectura de contenido de la interfaz de usuario y la realización de gestos; servir pantallas falsas para imitar actualizaciones del sistema, solicitudes de PIN y registro de cuentas para recopilar información personal, y extraer datos de imágenes asociadas con tarjetas de identificación utilizando un algoritmo de reconocimiento de texto incorporado.
Actualmente también se está trabajando en una función de escáner de códigos QR que intenta leer el código QR en los documentos de identidad vietnamitas, probablemente con el objetivo de simplificar el proceso de captura de detalles.
Curiosamente, GoldFactory parece haber abandonado su troyano iOS personalizado en favor de un enfoque inusual que ahora indica a las víctimas que tomen prestado un dispositivo Android de un familiar o pariente para continuar el proceso. Actualmente no está claro qué provocó el cambio, pero se cree que se debe a medidas de seguridad más estrictas y a la moderación de la tienda de aplicaciones en iOS.
«Mientras que las campañas anteriores se centraron en explotar los procesos KYC, la actividad reciente muestra parches directos de aplicaciones bancarias legítimas para cometer fraude», dijeron los investigadores. «El uso de marcos legítimos como Frida, Dobby y Pine para modificar aplicaciones bancarias confiables demuestra un enfoque sofisticado pero de bajo costo que permite a los ciberdelincuentes eludir la detección tradicional y escalar rápidamente sus operaciones».
