Manuel Statik Analiz — GoldDigger Android | Tehdit: YUKSEK
Файл Kimliği
| SHA256 | 1f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Имя файла | SecuriteInfo.com.Android.Spy.6759.31686 (Fransız AV lab örneği) |
| Размер | 184.916 byte (185KB Android DEX) |
| String Sayisi | 2.707 |
C2 Domain
ktbcs.net -- kısa 5-karakter domain + .net -- Belirgin anlamsız kombinasyon (K-T-B-C-S) -- GoldDigger komut-kontrol altyapısı
Jenkins CI Geliştirici PDB Parmak İzi
Geliştirici Altyapısı Tespiti: Jenkins CI sunucu yolu görünür!
/var/jenkins_home/workspace/remoteEncrypt/businessPlugins/StrategyUtils/src/main/cpp/ -- /var/jenkins_home/ = Jenkins CI sunucu ev dizini! -- /workspace/ = Jenkins build workspace -- remoteEncrypt = şifreleme bileşeni proje adı -- businessPlugins = iş eklentisi modülleri -- StrategyUtils = strateji yardımcı programları -- src/main/cpp/ = C++ kaynak kodu (Android NDK) -- GoldDigger ekibi Jenkins kullanarak binary üretiyor → CI/CD pipeline!
GoldDigger Hakkında
GoldDigger, 2023'te Asya-Pasifik bölgesinde tespit edilen Android banking trojan'dır. Vietnam, Tayland, Endonezya'daki bankacılık uygulamalarını hedefler. Erişilebilirlik servisi ile banking credentials çalar, yüz tanıma verilerini ele geçirir. GoldDiggerPlus ve GoldPickaxe varyantları mevcut.
IOC
| SHA256 | 1f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| C2 | ktbcs.net |
| PDB | /var/jenkins_home/workspace/remoteEncrypt/businessPlugins/ |
GoldDigger — Профиль вредоносного ПО
GoldDigger Android banking trojan 2023 Asya-Pasifik. ktbcs.net C2. Jenkins CI /var/jenkins_home PDB. Yuzyuz tanima.
Тип вредоносного ПО
RAT
Язык программирования
Java/C++
C2 Протокол
HTTPS
Целевые системы
Vietnam/Tayland/Endonezya
Возможности и поведение
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
Список IOC (2 индикаторов)
IOC — GoldDigger
# DOMAIN
securiteinfo.com
# DOMAIN
ktbcs.net
| Тип | Значение | Примечание |
|---|---|---|
| domain | securiteinfo.com | |
| domain | ktbcs.net |
C2 Серверы (1 зарегистрированных серверов для этого семейства)
| Адрес | Тип | Порт | Протокол | Статус | Страна |
|---|---|---|---|---|---|
| ktbcs.net | domain | 443 | HTTPS | inactive | — |
Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.