GoldFactory グループは、東南アジア全域のモバイルバンキング利用者を標的とする新たな攻撃の波を開始しました。攻撃者は政府機関や著名企業を装い、改ざんした銀行アプリケーションを配布しています。Group-IB によると、インドネシア、タイ、ベトナムで既に 1 万 1,000 台以上のデバイスが侵害されています。
現在の攻撃の急増は 2024 年 10 月から記録されていますが、GoldFactory は 2023 年半ばから活動しています。同グループは、マルウェアファミリー GoldPickaxe、GoldDigger、GoldDiggerPlus を通じて初めて注目を集めました。アナリストは、このオペレーションを中国語圏のエコシステムに関連付けており、コードは異なるものの、標的やフィッシングページの構造を共有している点で Gigabud マルウェアとの重なりを指摘しています。
最初の攻撃はタイで観測され、その後ベトナムとインドネシアへと拡大しました。Group-IB は、インドネシアだけで約 2,200 件の感染を引き起こした 300 以上の改ざん銀行アプリを特定しました。合計で 3,000 を超える関連アーティファクトが明らかになっており、その結果 1 万 1,000 台のデバイスが侵害されました。悪意あるアプリの大半は、インドネシア市場向けに特化して作られています。
攻撃チェーンは、政府当局や大企業を名乗る電話から始まります。被害者は、負債やサービスに関連する「問題を解決する」ためとして、Zalo 経由で送られてくるリンクに従うよう説得されます。ベトナムでは、犯罪者は電力会社 EVN を装い、ユーザーに「サービス」アプリのインストールを促しました。このリンクは、Gigabud、MMRat、または Remo を配布する偽の Google Play ページへリダイレクトします。これらのマルウェアはリモートアクセスを可能にし、Android のユーザー補助サービスを悪用して、デバイスを秘匿的に制御するメインモジュールのインストールを準備します。
このキャンペーンの特徴は、正規の銀行アプリケーションに悪意あるコードを注入する点です。Group-IB によると、元のアプリはインターフェースと機能を保持したまま、埋め込まれたモジュールが内部ロジックを乗っ取ります。
このようなモジュールファミリーとして、FriHook、SkyHook、PineHook の 3 種類が特定されています。これらは、ユーザー補助サービスが有効なアプリを隠蔽し、インストール元を秘匿し、署名を偽造し、完全性チェックを回避し、残高情報を抽出します。SkyHook は Dobby フレームワークを使用し、FriHook は Frida に依存し、PineHook は Java フレームワークの Pine を利用します。
GoldFactory のインフラストラクチャを分析した結果、新たな Android マルウェア亜種 Gigaflower の準備が明らかになりました。これはおそらく Gigabud の後継とみられます。Gigaflower は WebRTC を通じてデバイス画面をストリーミングし、ユーザー補助ツールを悪用してタップを傍受しインターフェースを読み取り、偽のアップデート通知や PIN コード入力ダイアログを表示し、書類画像からデータを抽出できます。将来的な機能として、ベトナムの身分証明書に記載された QR コードのスキャンも想定されています。
iOS における戦術の明確な転換も見られます。独自のトロイの木馬を展開する代わりに、攻撃者は被害者に対し、親族などから Android スマートフォンを借りるよう促すようになりました。アナリストは、この変化を Apple の強化されたセキュリティと厳格なエコシステム管理によるものと見ています。
専門家は、GoldFactory が KYC なりすましスキームから距離を置き、改ざんされた正規の銀行アプリケーションへの依存度を高めていると指摘しています。Frida、Dobby、Pine の活用により、運用コストは大幅に削減され、急速なスケーリングが可能となり、このキャンペーンは地域の金融機関にとって極めて危険なものとなっています。
