GoldFactory в Азиатско-Тихоокеанском регионе: Gigaflower и клоны банков

Начиная с 2024 года исследователи безопасности из Group-IB фиксируют активность группы, известной как GoldFactory, которая проводит сложные и целенаправленные кампании мобильного мошенничества против банковских клиентов по всему Азиатско‑Тихоокеанскому региону. Злоумышленники комбинируют технические приемы с продуманными социальными инженерными сценариями, что делает атаки особенно опасными для конечных пользователей и финансовых организаций.

Ключевые находки

• Операторы GoldFactory клонировали 27 легитимных банковских приложений в Индонезии, Вьетнаме и Таиланде и внедрили в них вредоносный код.
• В кампании используется семейство вредоносного ПО Gigaflower, включая новый экспериментальный вариант с возможностями OCR (распознавания текста) для сканирования удостоверений личности.
• Злоумышленники активно применяют общедоступные фреймворки — Frida, Dobby и Pine — и специализированные хуки FriHook, SkyHook и PineHook для перехвата и изменения поведения легитимных приложений.
• Цепочка взаимодействия с жертвой начинается через мессенджеры, затем переходят к телефонным звонкам с инструкциями; в ряде случаев злоумышленники выдают себя за государственные службы, чтобы повысить доверие жертвы.
• При компрометации устройства злоумышленники налаживают обмен данными в реальном времени через WebRTC, что ускоряет и упрощает управление атакой.

«операторы клонировали 27 законных банковских приложений в Индонезии, Вьетнаме и Таиланде, внедрив вредоносный код для выполнения своих атак.»

Механика атак и социальная инженерия

Типичная схема начинается с контакта через мессенджер: злоумышленник предлагает «помощь», уведомление о проблеме с аккаунтом или требование пройти «верификацию». После первичного контакта следует звонок, где злоумышленник по шагам инструктирует жертву — вплоть до рекомендации установить приложение или использовать другое устройство.

• Имперсонация государственных сервисов — ключевой элемент доверительной модели: жертве внушают легитимность запроса и необходимость срочных действий.
• Поощрение перехода на Android — злоумышленники склоняют пользователей iOS к использованию Android-устройств, вероятно, из‑за более жестких ограничений iOS и сложности внедрения вредоносного ПО на iPhone.
• После установки поддельного приложения вредоносный модуль активирует механизмы перехвата и передачи данных, включая доступ к учетным данным и сканам документов.

Инструменты, техники и возможности вредоносного ПО

GoldFactory активно использует публичные инструменты тестирования и отладки для злоупотребления ими в целях компрометации приложений:

• Frida, Dobby, Pine — фреймворки, применяемые для динамического вмешательства в работу приложений.
• FriHook способен обходить проверки целостности приложений; SkyHook использует DobbyHook framework для «подключения» к легитимным процессам и модификации их функциональности; PineHook выполняет аналогичные задачи в своей экосистеме.
• Gigaflower — семейство вредоносного ПО с расширяемой архитектурой; в новом варианте реализованы экспериментальные модули OCR для автоматизированного считывания данных с ID-карт.
• Компоненты упаковки (advanced packers) и обратное проектирование легитимных приложений используются для маскировки вредоносного кода и снижения вероятности обнаружения антивирусными средствами.

Инфраструктура распространения

Анализ Group-IB показал, что вредоносные приложения распространялись через домены с открытыми каталогами, что указывает на организованный и структурированный подход к доставке вредоносного ПО. Такой метод упрощает массовое размещение троянов и обновление вредоносных компонентов.

Последствия

Комбинация технических методов (перехват, обход проверок, упаковка) и выверенных социальных сценариев делает кампанию GoldFactory высокой степенью опасности для банковских клиентов в регионе. Кража учетных данных, сканов документов и доступ к аккаунтам приводит к прямым финансовым потерям и рискам мошенничества с идентичностью.

Рекомендации

Для минимизации рисков экспертная команда рекомендует следующие практики:

• Пользователям:
  • Не устанавливать приложения из непроверенных источников и не переходить по сомнительным ссылкам из сообщений.
  • Игнорировать настойчивые требования «срочной верификации» через сторонние мессенджеры и звонки.
  • Не передавать сканы документов по запросу, если вы не уверены в легитимности источника; при сомнениях связываться с организацией по официальным каналам.
  • Использовать двухфакторную аутентификацию и проверять авторизованные устройства в настройках аккаунтов.
• Банкам и разработчикам мобильных приложений:
  • Повысить контроль целостности приложений и внедрять механизмы обнаружения попыток динамической инъекции (Frida, Dobby и т.п.).
  • Мониторить распространение клонов приложений в сторонних доменах и оперативно инициировать их блокировку через регистраторов и провайдеров хостинга.
  • Информировать клиентов о типичных сценариях мошенничества и официальных каналах коммуникации.
  • Рассмотреть дополнительные меры защиты для iOS и Android, включая серверную валидацию критичных операций и ограничение возможности эмуляции/отладки.
• Командам по безопасности:
  • Проанализировать появление подозрительных доменов с открытыми директориями и отследить инфраструктуру распространения.
  • Отслеживать сигнатуры новых вариантов Gigaflower и связанных с ним хуков (FriHook, SkyHook, PineHook).

Вывод

Дело GoldFactory иллюстрирует современную тенденцию: злоумышленники сочетают мощные инструменты динамического вмешательства с отработанными методами социальной инженерии. Это повышает эффективность атак и сложность их обнаружения. В условиях постоянной эволюции угроз необходима скоординированная работа пользователей, финансовых организаций и специалистов по безопасности для своевременного обнаружения и нейтрализации подобных кампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.