El grupo de ciberdelincuentes GoldFactory, motivado financieramente, ha lanzado una nueva ola de ataques dirigida a usuarios móviles en Indonesia, Tailandia y Vietnam. Los atacantes están utilizando una técnica de suplantación de identidad de servicios gubernamentales para distribuir aplicaciones bancarias legítimas modificadas con malware.
La actividad, observada desde octubre de 2024, implica la distribución de aplicaciones que actúan como conductos para malware avanzado de Android, según un informe técnico de Group-IB.
El Actor de Amenaza GoldFactory
GoldFactory es un grupo de ciberdelincuencia de habla china, activo desde al menos junio de 2023. El grupo es conocido por el uso de familias de malware personalizadas como GoldPickaxe, GoldDigger y GoldDiggerPlus, que anteriormente atacaban dispositivos Android e iOS. La investigación sugiere que GoldFactory tiene estrechos vínculos con Gigabud, otro malware de Android detectado a mediados de 2023. A pesar de las diferencias en el código base, GoldDigger y Gigabud comparten similitudes en sus objetivos de suplantación y páginas de destino.
Tácticas y Cadena de Infección
La última campaña de ataques se detectó por primera vez en Tailandia, expandiéndose posteriormente a Vietnam a finales de 2024 y principios de 2025, y a Indonesia a mediados de 2025. Group-IB ha identificado más de 300 muestras únicas de aplicaciones bancarias modificadas, resultando en casi 2,200 infecciones en Indonesia y un total de al menos 11,000 infecciones documentadas.
El método de infección se basa en la suplantación de entidades gubernamentales y marcas locales confiables. Los delincuentes contactan a las víctimas por teléfono para engañarlas y que instalen el malware, dirigiéndolas a hacer clic en un enlace enviado a través de aplicaciones de mensajería como Zalo.
En un caso documentado, los atacantes se hicieron pasar por la compañía eléctrica pública de Vietnam, EVN, y exigieron el pago de facturas de electricidad vencidas. Durante la llamada, solicitaban a las víctimas que los agregaran en Zalo para recibir un enlace de descarga de una aplicación y vincular sus cuentas. Los enlaces redirigen a páginas de destino falsas que imitan listados de aplicaciones de Google Play Store, desplegando troyanos de acceso remoto como Gigabud, MMRat o Remo. Estos droppers permiten la instalación de la carga útil principal que abusa de los servicios de accesibilidad de Android para facilitar el control remoto.
Análisis Técnico del Malware
Los investigadores de Group-IB detallan que el malware se basa en las aplicaciones bancarias móviles originales, pero inyecta código malicioso en una porción de la aplicación. Esto permite que la aplicación legítima mantenga su funcionalidad normal, mientras que el código inyectado bypassa las características de seguridad originales.
Se han identificado tres familias de malware diferentes basadas en los frameworks utilizados para la inyección de código en tiempo de ejecución:
- FriHook: Utiliza un gadget de Frida inyectado en la aplicación bancaria legítima.
- SkyHook: Emplea el framework Dobby disponible públicamente.
- PineHook: Utiliza un framework de hooking basado en Java llamado Pine.
A pesar de las diferencias en los frameworks, la funcionalidad de los módulos maliciosos se superpone, permitiendo a los atacantes:
- Ocultar la lista de aplicaciones con servicios de accesibilidad habilitados.
- Prevenir la detección de screencasts.
- Falsificar la firma de una aplicación de Android.
- Ocultar la fuente de instalación.
- Implementar proveedores de tokens de integridad personalizados.
- Obtener el saldo de la cuenta de las víctimas.
El Siguiente Nivel: Gigaflower
El análisis de la infraestructura maliciosa de GoldFactory también reveló una versión de prueba de una nueva variante de malware de Android denominada Gigaflower, probable sucesor de Gigabud. Gigaflower es un malware altamente avanzado que admite alrededor de 48 comandos para:
- Transmitir la pantalla y la actividad del dispositivo en tiempo real utilizando WebRTC.
- Instrumentar los servicios de accesibilidad para realizar keylogging, leer contenido de la interfaz de usuario y realizar gestos.
- Mostrar pantallas falsas para simular actualizaciones del sistema, solicitudes de PIN y registro de cuentas, con el objetivo de recolectar información personal.
- Extraer datos de imágenes asociadas a tarjetas de identificación utilizando un algoritmo de reconocimiento de texto incorporado (OCR).
El Abandono de iOS
GoldFactory parece haber abandonado su troyano personalizado para iOS. En su lugar, han adoptado un enfoque inusual al instruir a las víctimas de iOS para que pidan prestado un dispositivo Android a un familiar o pariente para continuar el proceso de fraude. Se cree que este cambio es resultado de medidas de seguridad más estrictas y una moderación de la tienda de aplicaciones más rigurosa por parte de Apple.
Conclusiones
La campaña de GoldFactory demuestra una evolución en la sofisticación de las amenazas móviles. Al modificar aplicaciones bancarias legítimas con frameworks de hooking como Frida, Dobby y Pine, los ciberdelincuentes logran eludir la detección tradicional de manera efectiva y escalar sus operaciones rápidamente con un costo relativamente bajo. La aparición de Gigaflower, con sus capacidades avanzadas de espionaje y recolección de datos, subraya la continua innovación de este grupo en el panorama de las amenazas financieras móviles.
Referencias
- [Group-IB] Technical report on GoldFactory cybercrime group.