Manuel Statik Analiz — GoldDigger Android | Tehdit: YUKSEK

Archivo Kimliği

SHA2561f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Nombre de archivoSecuriteInfo.com.Android.Spy.6759.31686 (Fransız AV lab örneği)
Tamaño184.916 byte (185KB Android DEX)
String Sayisi2.707

C2 Domain

ktbcs.net
-- kısa 5-karakter domain + .net
-- Belirgin anlamsız kombinasyon (K-T-B-C-S)
-- GoldDigger komut-kontrol altyapısı

Jenkins CI Geliştirici PDB Parmak İzi

Geliştirici Altyapısı Tespiti: Jenkins CI sunucu yolu görünür!
/var/jenkins_home/workspace/remoteEncrypt/businessPlugins/StrategyUtils/src/main/cpp/
-- /var/jenkins_home/ = Jenkins CI sunucu ev dizini!
-- /workspace/ = Jenkins build workspace
-- remoteEncrypt = şifreleme bileşeni proje adı
-- businessPlugins = iş eklentisi modülleri
-- StrategyUtils = strateji yardımcı programları
-- src/main/cpp/ = C++ kaynak kodu (Android NDK)
-- GoldDigger ekibi Jenkins kullanarak binary üretiyor → CI/CD pipeline!

GoldDigger Hakkında

GoldDigger, 2023'te Asya-Pasifik bölgesinde tespit edilen Android banking trojan'dır. Vietnam, Tayland, Endonezya'daki bankacılık uygulamalarını hedefler. Erişilebilirlik servisi ile banking credentials çalar, yüz tanıma verilerini ele geçirir. GoldDiggerPlus ve GoldPickaxe varyantları mevcut.

IOC

SHA2561f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C2ktbcs.net
PDB/var/jenkins_home/workspace/remoteEncrypt/businessPlugins/

GoldDigger — Perfil del malware

GoldDigger Android banking trojan 2023 Asya-Pasifik. ktbcs.net C2. Jenkins CI /var/jenkins_home PDB. Yuzyuz tanima.

Tipo de malware
RAT
Lenguaje de programación
Java/C++
Protocolo C2
HTTPS
Sistemas objetivo
Vietnam/Tayland/Endonezya

Capacidades y comportamiento

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Lista IOC (2 indicadores)

IOC — GoldDigger
# DOMAIN securiteinfo.com # DOMAIN ktbcs.net
TipoValorNota
domain securiteinfo.com
domain ktbcs.net

Servidores C2 (1 servidores registrados para esta familia)

Dirección Tipo Puerto Protocolo Estado País
ktbcs.net domain 443 HTTPS inactive —

Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.

Etiquetas
golddiggerandroid-banking-trojanktbcs-net-c2jenkins-ci-pdbvar-jenkins-homeremote-encryptbusiness-plugins