Manuel Statik Analiz — GoldDigger Android | Tehdit: YUKSEK
Fichier Kimliği
| SHA256 | 1f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Nom du fichier | SecuriteInfo.com.Android.Spy.6759.31686 (Fransız AV lab örneği) |
| Taille | 184.916 byte (185KB Android DEX) |
| String Sayisi | 2.707 |
C2 Domain
ktbcs.net -- kısa 5-karakter domain + .net -- Belirgin anlamsız kombinasyon (K-T-B-C-S) -- GoldDigger komut-kontrol altyapısı
Jenkins CI Geliştirici PDB Parmak İzi
Geliştirici Altyapısı Tespiti: Jenkins CI sunucu yolu görünür!
/var/jenkins_home/workspace/remoteEncrypt/businessPlugins/StrategyUtils/src/main/cpp/ -- /var/jenkins_home/ = Jenkins CI sunucu ev dizini! -- /workspace/ = Jenkins build workspace -- remoteEncrypt = şifreleme bileşeni proje adı -- businessPlugins = iş eklentisi modülleri -- StrategyUtils = strateji yardımcı programları -- src/main/cpp/ = C++ kaynak kodu (Android NDK) -- GoldDigger ekibi Jenkins kullanarak binary üretiyor → CI/CD pipeline!
GoldDigger Hakkında
GoldDigger, 2023'te Asya-Pasifik bölgesinde tespit edilen Android banking trojan'dır. Vietnam, Tayland, Endonezya'daki bankacılık uygulamalarını hedefler. Erişilebilirlik servisi ile banking credentials çalar, yüz tanıma verilerini ele geçirir. GoldDiggerPlus ve GoldPickaxe varyantları mevcut.
IOC
| SHA256 | 1f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| C2 | ktbcs.net |
| PDB | /var/jenkins_home/workspace/remoteEncrypt/businessPlugins/ |
GoldDigger — Profil du malware
GoldDigger Android banking trojan 2023 Asya-Pasifik. ktbcs.net C2. Jenkins CI /var/jenkins_home PDB. Yuzyuz tanima.
Type de malware
RAT
Langage de programmation
Java/C++
Protocole C2
HTTPS
Systèmes ciblés
Vietnam/Tayland/Endonezya
Capacités et comportement
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
Liste IOC (2 indicateurs)
IOC — GoldDigger
# DOMAIN
securiteinfo.com
# DOMAIN
ktbcs.net
| Type | Valeur | Note |
|---|---|---|
| domain | securiteinfo.com | |
| domain | ktbcs.net |
Serveurs C2 (1 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| ktbcs.net | domain | 443 | HTTPS | inactive | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.