300 maneras de perder dinero: Group‑IB descubre una campaña que infecta masivamente smartphones Android
Estafadores recurren a suplantaciones tan convincentes que las víctimas entregan voluntariamente el acceso a sus cuentas.
El grupo GoldFactory lanzó una nueva ola de ataques contra usuarios de banca móvil en el sudeste asiático. Los atacantes se hacen pasar por organismos estatales y empresas conocidas, distribuyendo aplicaciones bancarias falsificadas. Según Group-IB, ya están infectados más de 11 000 dispositivos en Indonesia, Tailandia y Vietnam.
La actividad se registra desde octubre de 2024, aunque GoldFactory actúa desde el verano de 2023. Se dio a conocer antes por las familias de malware GoldPickaxe, GoldDigger y GoldDiggerPlus. Los analistas vinculan al grupo con el entorno de habla china y señalan coincidencias con el malware Gigabud — coinciden los objetivos y la estructura de las páginas de phishing, pese a las diferencias en el código.
Los ataques se notaron primero en Tailandia y luego se extendieron a Vietnam e Indonesia. Group-IB identificó más de 300 variantes de aplicaciones bancarias modificadas, que provocaron alrededor de 2 200 infecciones en Indonesia. En total se detectaron más de 3 000 artefactos relacionados, que llevaron a 11 000 dispositivos infectados; la mayoría de las aplicaciones está dirigida al mercado indonesio.
El guion de los ataques se basa en llamadas telefónicas en nombre de organismos estatales o de grandes empresas. A las víctimas se les persuade para que accedan a un enlace enviado por Zalo para «resolver un problema» con deudas o servicios. En Vietnam los delincuentes se hacían pasar por la compañía energética EVN y pedían instalar una aplicación «de servicio». El enlace dirigía a una página falsa de Google Play desde la que se descargaban los programas maliciosos Gigabud, MMRat o Remo. Estos daban acceso remoto al dispositivo y preparaban la instalación del módulo principal, que utiliza los servicios de accesibilidad de Android para el control oculto.
La característica principal de la campaña es la inserción de código malicioso en aplicaciones bancarias legítimas. Según los especialistas de Group-IB, la aplicación original conserva el aspecto y las funciones, y los módulos añadidos actúan mediante la interceptación de la lógica.
En total se han identificado tres familias de tales módulos: FriHook, SkyHook y PineHook. Ocultan las aplicaciones con los servicios de accesibilidad activados, enmascaran la fuente de instalación, reemplazan firmas, eluden las comprobaciones de integridad y obtienen datos del saldo. SkyHook utiliza el framework Dobby, FriHook el componente Frida y PineHook el framework Java Pine.
El análisis de la infraestructura de GoldFactory mostró la preparación de un nuevo malware para Android llamado Gigaflower, que podría convertirse en sucesor de Gigabud. Puede transmitir la pantalla del dispositivo vía WebRTC, usar los servicios de accesibilidad para interceptar pulsaciones y leer la interfaz, mostrar ventanas falsas con actualizaciones y solicitudes del PIN, así como extraer datos de imágenes de documentos. Entre sus planes está añadir un lector de códigos QR en documentos de identidad vietnamitas.
También se aprecia un cambio de táctica con respecto a los usuarios de iOS. En lugar de usar un troyano propio, los atacantes ahora proponen a las víctimas pedir prestado un dispositivo Android a familiares. Según los analistas, esto se debe al reforzamiento de las protecciones y a la estricta moderación en el ecosistema de Apple.
Los especialistas señalan que GoldFactory abandona los esquemas de suplantación en los procedimientos KYC y cada vez utiliza más aplicaciones bancarias legítimas modificadas. El uso de los frameworks Frida, Dobby y Pine reduce costes y permite escalar rápidamente las operaciones, lo que hace que la campaña sea especialmente peligrosa para las instituciones financieras de la región.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!