Grupo hacker usa golpe por telefone e apps falsos para invadir contas bancárias no Sudeste Asiático

Um grupo hacker conhecido como GoldFactory intensificou suas operações no Sudeste Asiático, lançando uma nova onda de ataques contra usuários móveis na Indonésia, Tailândia e Vietnã ao se passar por serviços governamentais e distribuir aplicativos bancários modificados. A campanha, monitorada desde outubro de 2024, emprega apps falsos que funcionam como vetor para instalar malware em dispositivos Android, segundo um relatório técnico publicado pela Group-IB.

Ativo desde pelo menos junho de 2023, o GoldFactory ganhou notoriedade pela criação de famílias de malware como GoldPickaxe, GoldDigger e GoldDiggerPlus, capazes de atingir tanto Android quanto iOS. Pesquisadores apontam que o grupo composto por falantes de chinês e com laços com o malware Gigabud opera de maneira altamente organizada e refinada, compartilhando táticas e páginas falsas de distribuição com outras campanhas semelhantes detectadas desde 2023.

A nova ofensiva começou na Tailândia e, meses depois, avançou para o Vietnã e Indonésia. A Group-IB identificou mais de 300 versões adulteradas de aplicativos bancários, responsáveis por quase 2.200 infecções na Indonésia. No total, foram mapeados mais de 3.000 artefatos maliciosos, levando a pelo menos 11.000 infecções, sendo que 63% dos apps falsificados visavam diretamente o mercado indonésio.

A cadeia de ataque consiste em hackers que entram em contato com as vítimas por telefone, fingindo representar órgãos públicos ou empresas locais. Em um dos golpes documentados, invasores se passaram pela companhia elétrica do Vietnã, EVN, cobrando falsas contas atrasadas e instruindo os usuários a adicioná-los no aplicativo Zalo para baixar um suposto app de regularização. O link direcionava para páginas falsas da Google Play Store, que instalavam trojans como Gigabud, MMRat ou Remo, usados como “droppers” para habilitar o controle remoto do dispositivo.

Os apps modificados funcionam a partir da injeção de código malicioso em apenas parte do aplicativo original, preservando sua funcionalidade normal e dificultando a detecção. Esses módulos maliciosos utilizam estruturas como FriHook, SkyHook e PineHook, capazes de: ocultar serviços de acessibilidade ativados, impedir detecção de screencast, falsificar assinaturas de apps, esconder a origem da instalação, criar tokens de integridade personalizados e até obter o saldo da conta da vítima.

A infraestrutura analisada revelou ainda o desenvolvimento de um novo malware chamado Gigaflower, provável sucessor do Gigabud. Ele conta com 48 comandos, entre eles: transmissão de tela em tempo real via WebRTC, keylogging por acessibilidade, criação de telas falsas para roubar PINs e credenciais, e reconhecimento de texto para extrair informações de documentos de identidade. Há também uma função em construção para leitura automática de QR codes de documentos vietnamitas.

Outro detalhe que chamou a atenção dos Pesquisadores foi a mudança na estratégia para iOS: em vez de usar o trojan próprio desenvolvido anteriormente, o GoldFactory agora instruem as vítimas a emprestar um aparelho Android de parentes para continuar o processo fraudulento medida que reflete as restrições mais rígidas da Apple para instalação de apps modificados.

Segundo especialistas da Group-IB, o uso de frameworks legítimos como Frida, Dobby e Pine demonstra uma abordagem sofisticada e de baixo custo, que permite burlar sistemas tradicionais de detecção, escalar os ataques rapidamente e explorar diretamente aplicativos bancários confiáveis.

Via - THN