Ciberdelincuentes asociados a un grupo con motivaciones financieras conocido como Fábrica de oro se ha observado una nueva ronda de ataques contra usuarios de dispositivos móviles en Indonesia, Tailandia y Vietnam haciéndose pasar por servicios gubernamentales.
El actividad , observado desde octubre de 2024, implica la distribución de aplicaciones bancarias modificadas que actúan como conducto para el malware de Android, según informó Group-IB en un informe técnico publicado el miércoles.
Se estima que su actividad se remonta a junio de 2023, GoldFactory primero llamó la atención a principios del año pasado, cuando la empresa de ciberseguridad con sede en Singapur detalló el uso por parte de los actores de amenazas de familias de malware personalizadas, como GoldPickAxe, GoldDigger y GoldDiggerPlus, dirigidas a dispositivos Android e iOS.
La evidencia apunta a que GoldFactory es un grupo de ciberdelincuencia bien organizado de habla china con estrechas conexiones con Gigabud , otro malware para Android que se detectó a mediados de 2023. A pesar de las importantes disparidades en sus bases de código, se ha descubierto que tanto GoldDigger como Gigabud comparten similitudes en sus objetivos de suplantación de identidad y en sus páginas de destino.
Los primeros casos de la última ola de ataques se detectaron en Tailandia, y la amenaza apareció posteriormente en Vietnam a finales de 2024 y principios de 2025, y en Indonesia a partir de mediados de 2025.
Group-IB dijo que ha identificado más de 300 muestras únicas de aplicaciones bancarias modificadas que han provocado casi 2.200 infecciones en Indonesia. Una investigación más profunda ha descubierto más de 3000 artefactos que, según se afirma, provocaron no menos de 11 000 infecciones. Alrededor del 63% de las aplicaciones bancarias modificadas se dirigen al mercado indonesio.
Las cadenas de infección, en pocas palabras, implican suplantar la identidad de entidades gubernamentales y marcas locales de confianza y acercarse a los posibles objetivos por teléfono para engañarlos para que instalen malware indicándoles que hagan clic en un enlace enviado en aplicaciones de mensajería como Zalo.
En al menos un caso documentado por el Group-IB, los estafadores se hicieron pasar por la empresa eléctrica pública vietnamita EVN e instaron a las víctimas a pagar las facturas de electricidad atrasadas o correr el riesgo de sufrir la suspensión inmediata del servicio. Durante la llamada, se dice que los atacantes pidieron a las víctimas que las añadieran a Zalo para recibir un enlace que les permitiera descargar una aplicación y vincular sus cuentas.
Los enlaces redirigen a las víctimas a páginas de destino falsas que se hacen pasar por listados de aplicaciones de Google Play Store, lo que resulta en el despliegue de un troyano de acceso remoto como Gigabud, MMRat o Remo, que apareció a principios de este año con las mismas tácticas que GoldFactory. Luego, estos cuentagotas allanan el camino para la carga principal, que abusa de los servicios de accesibilidad de Android para facilitar el control remoto.
«El malware [...] se basa en las aplicaciones bancarias móviles originales», dijeron los investigadores Andrey Polovinkin, Sharmine Low, Ha Thi Thu Nguyen y Pavel Naumov. «Funciona inyectando código malicioso solo en una parte de la aplicación, lo que permite que la aplicación original conserve su funcionalidad normal. La funcionalidad de los módulos maliciosos inyectados puede variar de un objetivo a otro, pero principalmente elude las funciones de seguridad de la aplicación original».
En concreto, funciona enganchándose a la lógica de la aplicación para ejecutar el malware. Se han descubierto tres familias de malware diferentes basadas en los marcos utilizados en las aplicaciones modificadas para realizar el enlace en tiempo de ejecución: FRIHook, SkyHook y PineHook. Independientemente de estas diferencias, la funcionalidad de los módulos se superpone, lo que permite:
- Ocultar la lista de aplicaciones que tienen habilitados los servicios de accesibilidad
- Impedir la detección de capturas de pantalla
- Falsificar la firma de una aplicación de Android
- Ocultar la fuente de instalación
- Implemente proveedores de tokens de integridad personalizados y
- Obtenga la cuenta de saldo de las víctimas
Si bien SkyHook hace uso de los disponibles públicamente Dobby marco para ejecutar los ganchos, FRIHook emplea un Frida dispositivo que se inyecta en la aplicación bancaria legítima. PineHook, como su nombre lo indica, utiliza un marco de enganche basado en Java llamado Pino .
Group-IB dijo que su análisis de la infraestructura maliciosa creada por GoldFactory también descubrió una versión de prueba previa al lanzamiento de una nueva variante de malware para Android denominada Gigaflower que probablemente sea la sucesora del malware Gigabud.
Admite alrededor de 48 comandos para permitir la transmisión en tiempo real de la actividad de la pantalla y el dispositivo mediante WebRTC; convertir los servicios de accesibilidad para registrar el teclado, leer el contenido de la interfaz de usuario y realizar gestos; mostrar pantallas falsas para imitar las actualizaciones del sistema, las solicitudes de PIN y el registro de cuentas para recopilar información personal, y extraer datos de imágenes asociadas a las tarjetas de identificación mediante un algoritmo de reconocimiento de texto incorporado.
También se está trabajando actualmente en un escáner de códigos QR que intenta leer el código QR de las tarjetas de identidad vietnamitas, probablemente con el objetivo de simplificar el proceso de captura de los detalles.
Curiosamente, GoldFactory parece haber abandonado su troyano iOS a medida en favor de un enfoque inusual que ahora instruye a las víctimas a pedir prestado un dispositivo Android a un miembro de la familia o pariente para continuar con el proceso. Por el momento no está claro qué provocó este cambio, pero se cree que se debe a las medidas de seguridad más estrictas y a la moderación de las tiendas de aplicaciones en iOS.
«Si bien las campañas anteriores se centraban en explotar los procesos de KYC, las actividades recientes muestran la aplicación directa de parches a las aplicaciones bancarias legítimas para cometer fraude», dijeron los investigadores. «El uso de marcos legítimos, como Frida, Dobby y Pine, para modificar aplicaciones bancarias confiables demuestra un enfoque sofisticado pero de bajo costo que permite a los ciberdelincuentes eludir la detección tradicional y ampliar rápidamente sus operaciones».