Manuel Statik Analiz — GoldDigger Android | Tehdit: YUKSEK

Datei Kimliği

SHA2561f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
DateinameSecuriteInfo.com.Android.Spy.6759.31686 (Fransız AV lab örneği)
Größe184.916 byte (185KB Android DEX)
String Sayisi2.707

C2 Domain

ktbcs.net
-- kısa 5-karakter domain + .net
-- Belirgin anlamsız kombinasyon (K-T-B-C-S)
-- GoldDigger komut-kontrol altyapısı

Jenkins CI Geliştirici PDB Parmak İzi

Geliştirici Altyapısı Tespiti: Jenkins CI sunucu yolu görünür!
/var/jenkins_home/workspace/remoteEncrypt/businessPlugins/StrategyUtils/src/main/cpp/
-- /var/jenkins_home/ = Jenkins CI sunucu ev dizini!
-- /workspace/ = Jenkins build workspace
-- remoteEncrypt = şifreleme bileşeni proje adı
-- businessPlugins = iş eklentisi modülleri
-- StrategyUtils = strateji yardımcı programları
-- src/main/cpp/ = C++ kaynak kodu (Android NDK)
-- GoldDigger ekibi Jenkins kullanarak binary üretiyor → CI/CD pipeline!

GoldDigger Hakkında

GoldDigger, 2023'te Asya-Pasifik bölgesinde tespit edilen Android banking trojan'dır. Vietnam, Tayland, Endonezya'daki bankacılık uygulamalarını hedefler. Erişilebilirlik servisi ile banking credentials çalar, yüz tanıma verilerini ele geçirir. GoldDiggerPlus ve GoldPickaxe varyantları mevcut.

IOC

SHA2561f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C2ktbcs.net
PDB/var/jenkins_home/workspace/remoteEncrypt/businessPlugins/

GoldDigger — Malware-Profil

GoldDigger Android banking trojan 2023 Asya-Pasifik. ktbcs.net C2. Jenkins CI /var/jenkins_home PDB. Yuzyuz tanima.

Malware-Typ
RAT
Programmiersprache
Java/C++
C2-Protokoll
HTTPS
Zielsysteme
Vietnam/Tayland/Endonezya

Fähigkeiten & Verhalten

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC-Liste (2 Indikatoren)

IOC — GoldDigger
# DOMAIN securiteinfo.com # DOMAIN ktbcs.net
TypWertBemerkung
domain securiteinfo.com
domain ktbcs.net

C2-Server (1 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
ktbcs.net domain 443 HTTPS inactive —

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
golddiggerandroid-banking-trojanktbcs-net-c2jenkins-ci-pdbvar-jenkins-homeremote-encryptbusiness-plugins