Manuel Statik Analiz — GoldDigger Android | Tehdit: YUKSEK
ファイル Kimliği
| SHA256 | 1f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| ファイル名 | SecuriteInfo.com.Android.Spy.6759.31686 (Fransız AV lab örneği) |
| サイズ | 184.916 byte (185KB Android DEX) |
| String Sayisi | 2.707 |
C2 Domain
ktbcs.net -- kısa 5-karakter domain + .net -- Belirgin anlamsız kombinasyon (K-T-B-C-S) -- GoldDigger komut-kontrol altyapısı
Jenkins CI Geliştirici PDB Parmak İzi
Geliştirici Altyapısı Tespiti: Jenkins CI sunucu yolu görünür!
/var/jenkins_home/workspace/remoteEncrypt/businessPlugins/StrategyUtils/src/main/cpp/ -- /var/jenkins_home/ = Jenkins CI sunucu ev dizini! -- /workspace/ = Jenkins build workspace -- remoteEncrypt = şifreleme bileşeni proje adı -- businessPlugins = iş eklentisi modülleri -- StrategyUtils = strateji yardımcı programları -- src/main/cpp/ = C++ kaynak kodu (Android NDK) -- GoldDigger ekibi Jenkins kullanarak binary üretiyor → CI/CD pipeline!
GoldDigger Hakkında
GoldDigger, 2023'te Asya-Pasifik bölgesinde tespit edilen Android banking trojan'dır. Vietnam, Tayland, Endonezya'daki bankacılık uygulamalarını hedefler. Erişilebilirlik servisi ile banking credentials çalar, yüz tanıma verilerini ele geçirir. GoldDiggerPlus ve GoldPickaxe varyantları mevcut.
IOC
| SHA256 | 1f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| C2 | ktbcs.net |
| PDB | /var/jenkins_home/workspace/remoteEncrypt/businessPlugins/ |
GoldDigger — マルウェアプロファイル
GoldDigger Android banking trojan 2023 Asya-Pasifik. ktbcs.net C2. Jenkins CI /var/jenkins_home PDB. Yuzyuz tanima.
マルウェアの種類
RAT
プログラミング言語
Java/C++
C2プロトコル
HTTPS
標的システム
Vietnam/Tayland/Endonezya
機能と挙動
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOCリスト (2 件の指標)
IOC — GoldDigger
# DOMAIN
securiteinfo.com
# DOMAIN
ktbcs.net
| タイプ | 値 | メモ |
|---|---|---|
| domain | securiteinfo.com | |
| domain | ktbcs.net |
C2サーバー (このファミリーで1台のサーバーを記録)
| アドレス | タイプ | ポート | プロトコル | ステータス | 国 |
|---|---|---|---|---|---|
| ktbcs.net | domain | 443 | HTTPS | inactive | — |
C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。