Manuel Statik Analiz — GoldDigger Android | Tehdit: YUKSEK

Fichier Kimliği

SHA2561f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Nom du fichierSecuriteInfo.com.Android.Spy.6759.31686 (Fransız AV lab örneği)
Taille184.916 byte (185KB Android DEX)
String Sayisi2.707

C2 Domain

ktbcs.net
-- kısa 5-karakter domain + .net
-- Belirgin anlamsız kombinasyon (K-T-B-C-S)
-- GoldDigger komut-kontrol altyapısı

Jenkins CI Geliştirici PDB Parmak İzi

Geliştirici Altyapısı Tespiti: Jenkins CI sunucu yolu görünür!
/var/jenkins_home/workspace/remoteEncrypt/businessPlugins/StrategyUtils/src/main/cpp/
-- /var/jenkins_home/ = Jenkins CI sunucu ev dizini!
-- /workspace/ = Jenkins build workspace
-- remoteEncrypt = şifreleme bileşeni proje adı
-- businessPlugins = iş eklentisi modülleri
-- StrategyUtils = strateji yardımcı programları
-- src/main/cpp/ = C++ kaynak kodu (Android NDK)
-- GoldDigger ekibi Jenkins kullanarak binary üretiyor → CI/CD pipeline!

GoldDigger Hakkında

GoldDigger, 2023'te Asya-Pasifik bölgesinde tespit edilen Android banking trojan'dır. Vietnam, Tayland, Endonezya'daki bankacılık uygulamalarını hedefler. Erişilebilirlik servisi ile banking credentials çalar, yüz tanıma verilerini ele geçirir. GoldDiggerPlus ve GoldPickaxe varyantları mevcut.

IOC

SHA2561f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C2ktbcs.net
PDB/var/jenkins_home/workspace/remoteEncrypt/businessPlugins/

GoldDigger — Profil du malware

GoldDigger Android banking trojan 2023 Asya-Pasifik. ktbcs.net C2. Jenkins CI /var/jenkins_home PDB. Yuzyuz tanima.

Type de malware
RAT
Langage de programmation
Java/C++
Protocole C2
HTTPS
Systèmes ciblés
Vietnam/Tayland/Endonezya

Capacités et comportement

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Liste IOC (2 indicateurs)

IOC — GoldDigger
# DOMAIN securiteinfo.com # DOMAIN ktbcs.net
TypeValeurNote
domain securiteinfo.com
domain ktbcs.net

Serveurs C2 (1 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
ktbcs.net domain 443 HTTPS inactive —

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
golddiggerandroid-banking-trojanktbcs-net-c2jenkins-ci-pdbvar-jenkins-homeremote-encryptbusiness-plugins