Manuel Statik Analiz — GoldDigger Android | Tehdit: YUKSEK
文件 Kimliği
| SHA256 | 1f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| 文件名 | SecuriteInfo.com.Android.Spy.6759.31686 (Fransız AV lab örneği) |
| 大小 | 184.916 byte (185KB Android DEX) |
| String Sayisi | 2.707 |
C2 Domain
ktbcs.net -- kısa 5-karakter domain + .net -- Belirgin anlamsız kombinasyon (K-T-B-C-S) -- GoldDigger komut-kontrol altyapısı
Jenkins CI Geliştirici PDB Parmak İzi
Geliştirici Altyapısı Tespiti: Jenkins CI sunucu yolu görünür!
/var/jenkins_home/workspace/remoteEncrypt/businessPlugins/StrategyUtils/src/main/cpp/ -- /var/jenkins_home/ = Jenkins CI sunucu ev dizini! -- /workspace/ = Jenkins build workspace -- remoteEncrypt = şifreleme bileşeni proje adı -- businessPlugins = iş eklentisi modülleri -- StrategyUtils = strateji yardımcı programları -- src/main/cpp/ = C++ kaynak kodu (Android NDK) -- GoldDigger ekibi Jenkins kullanarak binary üretiyor → CI/CD pipeline!
GoldDigger Hakkında
GoldDigger, 2023'te Asya-Pasifik bölgesinde tespit edilen Android banking trojan'dır. Vietnam, Tayland, Endonezya'daki bankacılık uygulamalarını hedefler. Erişilebilirlik servisi ile banking credentials çalar, yüz tanıma verilerini ele geçirir. GoldDiggerPlus ve GoldPickaxe varyantları mevcut.
IOC
| SHA256 | 1f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| C2 | ktbcs.net |
| PDB | /var/jenkins_home/workspace/remoteEncrypt/businessPlugins/ |
GoldDigger — 恶意软件档案
GoldDigger Android banking trojan 2023 Asya-Pasifik. ktbcs.net C2. Jenkins CI /var/jenkins_home PDB. Yuzyuz tanima.
恶意软件类型
RAT
编程语言
Java/C++
C2协议
HTTPS
目标系统
Vietnam/Tayland/Endonezya
能力与行为
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC列表 (2 个指标)
IOC — GoldDigger
# DOMAIN
securiteinfo.com
# DOMAIN
ktbcs.net
| 类型 | 值 | 备注 |
|---|---|---|
| domain | securiteinfo.com | |
| domain | ktbcs.net |
C2服务器 (该家族共有 1 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| ktbcs.net | domain | 443 | HTTPS | inactive | — |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。