Manuel Statik Analiz — GoldDigger Android | Tehdit: YUKSEK

Файл Kimliği

SHA2561f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Имя файлаSecuriteInfo.com.Android.Spy.6759.31686 (Fransız AV lab örneği)
Размер184.916 byte (185KB Android DEX)
String Sayisi2.707

C2 Domain

ktbcs.net
-- kısa 5-karakter domain + .net
-- Belirgin anlamsız kombinasyon (K-T-B-C-S)
-- GoldDigger komut-kontrol altyapısı

Jenkins CI Geliştirici PDB Parmak İzi

Geliştirici Altyapısı Tespiti: Jenkins CI sunucu yolu görünür!
/var/jenkins_home/workspace/remoteEncrypt/businessPlugins/StrategyUtils/src/main/cpp/
-- /var/jenkins_home/ = Jenkins CI sunucu ev dizini!
-- /workspace/ = Jenkins build workspace
-- remoteEncrypt = şifreleme bileşeni proje adı
-- businessPlugins = iş eklentisi modülleri
-- StrategyUtils = strateji yardımcı programları
-- src/main/cpp/ = C++ kaynak kodu (Android NDK)
-- GoldDigger ekibi Jenkins kullanarak binary üretiyor → CI/CD pipeline!

GoldDigger Hakkında

GoldDigger, 2023'te Asya-Pasifik bölgesinde tespit edilen Android banking trojan'dır. Vietnam, Tayland, Endonezya'daki bankacılık uygulamalarını hedefler. Erişilebilirlik servisi ile banking credentials çalar, yüz tanıma verilerini ele geçirir. GoldDiggerPlus ve GoldPickaxe varyantları mevcut.

IOC

SHA2561f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C2ktbcs.net
PDB/var/jenkins_home/workspace/remoteEncrypt/businessPlugins/

GoldDigger — Профиль вредоносного ПО

GoldDigger Android banking trojan 2023 Asya-Pasifik. ktbcs.net C2. Jenkins CI /var/jenkins_home PDB. Yuzyuz tanima.

Тип вредоносного ПО
RAT
Язык программирования
Java/C++
C2 Протокол
HTTPS
Целевые системы
Vietnam/Tayland/Endonezya

Возможности и поведение

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Список IOC (2 индикаторов)

IOC — GoldDigger
# DOMAIN securiteinfo.com # DOMAIN ktbcs.net
ТипЗначениеПримечание
domain securiteinfo.com
domain ktbcs.net

C2 Серверы (1 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
ktbcs.net domain 443 HTTPS inactive —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
golddiggerandroid-banking-trojanktbcs-net-c2jenkins-ci-pdbvar-jenkins-homeremote-encryptbusiness-plugins