Manuel Statik Analiz — GoldDigger Android | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 1f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | SecuriteInfo.com.Android.Spy.6759.31686 (Fransız AV lab örneği) |
| Boyut | 184.916 byte (185KB Android DEX) |
| String Sayisi | 2.707 |
C2 Domain
ktbcs.net -- kısa 5-karakter domain + .net -- Belirgin anlamsız kombinasyon (K-T-B-C-S) -- GoldDigger komut-kontrol altyapısı
Jenkins CI Geliştirici PDB Parmak İzi
Geliştirici Altyapısı Tespiti: Jenkins CI sunucu yolu görünür!
/var/jenkins_home/workspace/remoteEncrypt/businessPlugins/StrategyUtils/src/main/cpp/ -- /var/jenkins_home/ = Jenkins CI sunucu ev dizini! -- /workspace/ = Jenkins build workspace -- remoteEncrypt = şifreleme bileşeni proje adı -- businessPlugins = iş eklentisi modülleri -- StrategyUtils = strateji yardımcı programları -- src/main/cpp/ = C++ kaynak kodu (Android NDK) -- GoldDigger ekibi Jenkins kullanarak binary üretiyor → CI/CD pipeline!
GoldDigger Hakkında
GoldDigger, 2023'te Asya-Pasifik bölgesinde tespit edilen Android banking trojan'dır. Vietnam, Tayland, Endonezya'daki bankacılık uygulamalarını hedefler. Erişilebilirlik servisi ile banking credentials çalar, yüz tanıma verilerini ele geçirir. GoldDiggerPlus ve GoldPickaxe varyantları mevcut.
IOC
| SHA256 | 1f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| C2 | ktbcs.net |
| PDB | /var/jenkins_home/workspace/remoteEncrypt/businessPlugins/ |
GoldDigger — Malware Profile
GoldDigger Android banking trojan 2023 Asya-Pasifik. ktbcs.net C2. Jenkins CI /var/jenkins_home PDB. Yuzyuz tanima.
Malware Type
RAT
Programming Language
Java/C++
C2 Protocol
HTTPS
Target Systems
Vietnam/Tayland/Endonezya
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (2 indicators)
IOC — GoldDigger
# DOMAIN
securiteinfo.com
# DOMAIN
ktbcs.net
| Type | Value | Note |
|---|---|---|
| domain | securiteinfo.com | |
| domain | ktbcs.net |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| ktbcs.net | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.