Manuel Statik Analiz — GoldDigger Android | Tehdit: YUKSEK

Dosya Kimliği

SHA2561f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıSecuriteInfo.com.Android.Spy.6759.31686 (Fransız AV lab örneği)
Boyut184.916 byte (185KB Android DEX)
String Sayisi2.707

C2 Domain

ktbcs.net
-- kısa 5-karakter domain + .net
-- Belirgin anlamsız kombinasyon (K-T-B-C-S)
-- GoldDigger komut-kontrol altyapısı

Jenkins CI Geliştirici PDB Parmak İzi

Geliştirici Altyapısı Tespiti: Jenkins CI sunucu yolu görünür!
/var/jenkins_home/workspace/remoteEncrypt/businessPlugins/StrategyUtils/src/main/cpp/
-- /var/jenkins_home/ = Jenkins CI sunucu ev dizini!
-- /workspace/ = Jenkins build workspace
-- remoteEncrypt = şifreleme bileşeni proje adı
-- businessPlugins = iş eklentisi modülleri
-- StrategyUtils = strateji yardımcı programları
-- src/main/cpp/ = C++ kaynak kodu (Android NDK)
-- GoldDigger ekibi Jenkins kullanarak binary üretiyor → CI/CD pipeline!

GoldDigger Hakkında

GoldDigger, 2023'te Asya-Pasifik bölgesinde tespit edilen Android banking trojan'dır. Vietnam, Tayland, Endonezya'daki bankacılık uygulamalarını hedefler. Erişilebilirlik servisi ile banking credentials çalar, yüz tanıma verilerini ele geçirir. GoldDiggerPlus ve GoldPickaxe varyantları mevcut.

IOC

SHA2561f1f7c69e432b41c184916b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C2ktbcs.net
PDB/var/jenkins_home/workspace/remoteEncrypt/businessPlugins/

GoldDigger — Malware Profile

GoldDigger Android banking trojan 2023 Asya-Pasifik. ktbcs.net C2. Jenkins CI /var/jenkins_home PDB. Yuzyuz tanima.

Malware Type
RAT
Programming Language
Java/C++
C2 Protocol
HTTPS
Target Systems
Vietnam/Tayland/Endonezya

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (2 indicators)

IOC — GoldDigger
# DOMAIN securiteinfo.com # DOMAIN ktbcs.net
TypeValueNote
domain securiteinfo.com
domain ktbcs.net

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
ktbcs.net domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
golddiggerandroid-banking-trojanktbcs-net-c2jenkins-ci-pdbvar-jenkins-homeremote-encryptbusiness-plugins