TTL OSINT

Выявление совпадений между Gold digger и вредоносным ПО Gigabud для Android

В недавнем отчете Cyber Intelligence and Research Labs (CRIL) сообщалось об обнаружении двух вредоносных кампаний для Android, Gigabud и Golddigger, исходный код которых значительно пересекается. Кампания Gigabud, начавшаяся в январе 2023 года, была нацелена на пользователей в нескольких странах, включая Таиланд, Филиппины и Перу, которые выдавали себя за государственные учреждения. Банковский троян Gold digger для Android, появившийся в июне 2023 года, нацелен на пользователей во Вьетнаме, выдавая себя за государственное учреждение Вьетнама. Недавний анализ показал, что за обеими кампаниями стоит один и тот же злоумышленник (TA). TA расширила сферу своей деятельности, включив в нее новые регионы, такие как Бангладеш, Индонезия, Мексика, Южная Африка и Эфиопия, и использует фишинговые сайты для распространения вредоносных приложений, выдающих себя за законные авиакомпании. Также было замечено, что вредоносная программа Gigabud выдает себя за мексиканский банк "HeyBanco" и официальное приложение "M-Pajak" в Индонезии. С начала июня 2024 года TA активизировала свои усилия по распространению, что свидетельствует о стратегическом расширении развертывания вредоносного ПО, направленного на компрометацию большего числа потенциальных жертв. Технические характеристики вредоносной программы Gigabud демонстрируют сходство с Golddigger, включая использование Vir box packer и методов обхода, а также поддержку дополнительных банковских приложений. Последние образцы вредоносного ПО Gigabud содержат 32 конечных точки API, что значительно больше, чем в предыдущих версиях, и включают библиотеку "libstrategy.so" от Golddigger, которая имеет решающее значение для идентификации компонентов пользовательского интерфейса на устройстве жертвы и взаимодействия с ними.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://cyble.com/blog/unmasking-the-overlap-between-golddigger-and-gigabud-android-malware/

Выборочные показатели Compromise:

• https://dstv.atferu.com
• https://airways.ajgo.cc/assets/images
• 853c98feaec405722c8353ff2d697f9e
• b700cee5e89305186b65a7c42c545263b3c11587ac1feb91fc3747353bde59e9
• https://airways.ajgo.cc/

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал