GoldFactory, Cyberkriminelle

GoldFactory: Cyberkriminelle manipulieren Banking-Apps massenhaft

05.12.2025 - 01:00:12

GoldFactory: Cyberkriminelle manipulieren Banking-Apps massenhaft - Foto: über boerse-global.de
GoldFactory: Cyberkriminelle manipulieren Banking-Apps massenhaft - Foto: über boerse-global.de

Ein chinesischsprachiges Cybercrime-Syndikat hat seine Angriffsmethoden radikal weiterentwickelt und über 11.000 Mobilgeräte in Südostasien infiziert. Die Gruppe GoldFactory, die 2024 bereits durch den Diebstahl biometrischer Gesichtsdaten Schlagzeilen machte, setzt nun auf eine perfide neue Strategie: Sie schleust Schadcode direkt in echte Banking-Anwendungen ein.

Das IT-Sicherheitsunternehmen Group-IB warnte am Mittwoch in einem ausführlichen Bericht vor der massiven Ausweitung der Kampagne. Besonders betroffen ist Indonesien, wo die Kriminellen gezielt das Vertrauen in legitime Finanz-Apps ausnutzen. Anders als bei klassischen Phishing-Attacken setzen die Täter nicht auf plumpe Fälschungen – sie modifizieren Original-Anwendungen so geschickt, dass selbst erfahrene Nutzer den Betrug kaum erkennen.

Das Herzstück der neuen Angriffswelle bildet die systematische Manipulation legitimer Banking- und Behörden-Apps. GoldFactory injiziert Schadcode direkt in authentische Anwendungspakete und umgeht damit die üblichen Sicherheitsmechanismen.

Die Täter nutzen öffentlich verfügbare Entwickler-Werkzeuge wie Frida, Dobby und Pine – eigentlich harmlose Frameworks zum Testen von Software. In den Händen der Kriminellen werden diese Tools jedoch zu Waffen. Group-IB kategorisiert die modifizierten App-Varianten als FriHook, SkyHook und PineHook.

Anzeige

Viele Android-Nutzer übersehen grundlegende Schutzmaßnahmen gegen manipulierte Banking-Apps — mit schwerwiegenden Folgen für Konten und persönliche Daten. Ein kostenloser Ratgeber erklärt in fünf klaren Schritten, wie Sie Sideloading erkennen, App‑Berechtigungen richtig setzen, nur geprüfte Quellen nutzen und automatische Updates sowie einfache Hardening‑Schritte aktivieren. Mit praktischer Checkliste für den Alltag, speziell für Nutzer von Banking‑ und Zahlungs‑Apps. Jetzt Android-Schutzpaket gratis herunterladen

Der Clou: Die manipulierten Anwendungen sehen aus und verhalten sich wie die Originale. Nutzer geben arglos ihre Zugangsdaten ein, während im Hintergrund die Malware mitschneidet und Funktionen manipuliert. „Die Schadsoftware basiert auf den ursprünglichen Banking-Apps”, erklären die Group-IB-Analysten Andrey Polovinkin und Sharmine Low. Standard-Sicherheitssysteme schlagen meist nicht Alarm.

Die Infektionskette beginnt häufig mit gezielter Manipulation. In Vietnam etwa geben sich Betrüger am Telefon oder über den Messenger-Dienst Zalo als Mitarbeiter des Stromversorgers EVN aus. Sie drohen mit Versorgungssperren wegen angeblich unbezahlter Rechnungen und drängen ihre Opfer zum Download einer „Support-App” – die in Wahrheit die Einfallspforte für die Malware ist.

Neue Bedrohung: “Gigaflower” in den Startlöchern

Während GoldFactory Anfang 2024 mit „GoldPickaxe” als erster iOS-Trojaner zur Gesichtserkennungs-Überlistung Aufmerksamkeit erregte, konzentriert sich die Gruppe Ende 2025 verstärkt auf Android-Geräte. Die manipulierten Apps fungieren als Schleusen für etablierte Fernzugriffs-Trojaner wie Gigabud, MMRat und Remo.

Besonders alarmierend ist jedoch die Entdeckung einer bislang unveröffentlichten Malware-Variante: Gigaflower.

Sicherheitsforscher stießen auf diesen neuen Schädling in der digitalen Infrastruktur von GoldFactory. Gigaflower scheint der Nachfolger von Gigabud zu sein und verfügt über erweiterte Fähigkeiten zur Verschleierung und dauerhaften Einnistung auf infizierten Geräten. Zwar befindet sich die Malware noch in der Testphase, ihre bloße Existenz zeigt jedoch: GoldFactory entwickelt aktiv eigene Werkzeuge, um weniger abhängig von bekannten Schadprogrammen zu werden.

Die technische Expertise der Gruppe zeigt sich in der Nutzung „entpackten’ Schadcodes. Indem die Kriminellen auf Standard-Packer verzichten, die von Sicherheitssoftware oft erkannt werden, und stattdessen Hooking-Frameworks manuell einschleusen, umgehen sie viele herkömmliche mobile Antiviren-Lösungen.

Indonesien im Visier: Massive geografische Expansion

Der Aktionsradius von GoldFactory hat sich dramatisch erweitert. Konzentrierten sich frühere Kampagnen hauptsächlich auf Vietnam und Thailand, verlagert sich der Schwerpunkt nun nach Indonesien.

Group-IB identifizierte über 300 einzigartige Varianten manipulierter Banking-Apps. Etwa 63 Prozent davon zielen speziell auf den indonesischen Markt ab. Dieser strategische Schwenk führte allein in Indonesien zu mindestens 2.200 bestätigten Infektionen seit Mitte 2025 – bei über 11.000 Fällen insgesamt in der Region.

Die Chronologie der Expansion ist eindeutig:
* Oktober 2024: Erste Fälle der neuen Welle in Thailand entdeckt
* Ende 2024/Anfang 2025: Ausbreitung nach Vietnam
* Mitte 2025: Massiver Aktivitätsanstieg in Indonesien

Diese regionale Diversifizierung deutet darauf hin, dass GoldFactory seine Infrastruktur ausbaut, um größere Bevölkerungen und vielfältigere Finanz-Ökosysteme anzugreifen.

Hochprofessionelle Organisation mit globaler Reichweite

GoldFactory erregte erstmals Anfang 2024 weltweite Aufmerksamkeit durch Angriffe, bei denen biometrische Gesichtsdaten gestohlen wurden, um Bank-Verifizierungssysteme auszuhebeln. Die Fähigkeit zur Anpassung – vom Biometrie-Diebstahl zur raffinierten App-Manipulation – zeugt von hoher operativer Reife.

„GoldFactory ist eine gut organisierte, finanziell motivierte Gruppe mit engen Verbindungen zu anderen großen Malware-Familien”, stellt der Group-IB-Bericht fest. Die Kombination aus „Malware-as-a-Service”-Komponenten und eigener Entwicklung ermöglicht es der Gruppe, schnell zu reagieren, wenn Sicherheitsanbieter Schwachstellen schließen.

Der Einsatz von Hooking-Frameworks wie Frida bereitet der Bankenbranche besondere Sorgen. Diese Tools sind legitime Entwickler-Werkzeuge für Debugging und Tests – ihre missbräuchliche Nutzung lässt sich kaum von harmloser Aktivität unterscheiden. Dieser „Living-off-the-Land”-Ansatz erschwert automatisierte Bedrohungserkennung erheblich.

Ausblick: Verschärfung der Bedrohung erwartet

Die Entdeckung des Gigaflower-Prototyps zeigt: GoldFactory lässt nicht locker. Sicherheitsexperten rechnen damit, dass die Gruppe diese neue Malware-Variante voraussichtlich Anfang 2026 in aktiven Kampagnen einsetzen wird.

Finanzinstitute in Südostasien sollten ihre App-Integritätsprüfungen verstärken und Kunden über die Gefahren des Sideloadings aufklären. Für Nutzer bleibt der Rat konsistent, aber kritisch: Banking-Apps ausschließlich aus offiziellen App-Stores herunterladen und bei unaufgeforderten Anrufen, die zur Installation von „Support-Software” drängen, äußerst skeptisch sein.

Da GoldFactory seine Techniken kontinuierlich verfeinert, verschwimmt die Grenze zwischen legitimen Anwendungen und Malware zunehmend. Dies erfordert proaktivere Abwehrmaßnahmen sowohl von Banken als auch von Betriebssystem-Anbietern.

Anzeige

PS: Sie möchten Ihr Smartphone dauerhaft vor solchen Schädlingen schützen? Das kostenlose Sicherheitspaket fasst die fünf wichtigsten Maßnahmen kompakt zusammen und liefert praxisnahe Anleitungen, mit denen Sie Ihr Android ohne teure Zusatz‑Apps härten — inklusive konkreter Tipps gegen gefälschte Support‑Apps und unerwünschtes Sideloading. Ideal für alle, die Banking‑ und Zahlungs‑Apps nutzen. Jetzt kostenloses Android-Sicherheitspaket anfordern

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler