Beyond Tax Returns: fałszywe aplikacje Coretax i infrastruktura MaaS GoldFactory skalują nadużycia marek w Indonezji

Wprowadzenie do problemu / definicja luki

W Indonezji sezon rozliczeń podatkowych stał się pretekstem do szeroko zakrojonej kampanii podszywania się pod oficjalną platformę Coretax. Klucz nie leży jednak wyłącznie w „fałszywej aplikacji podatkowej”, ale w uprzemysłowionej infrastrukturze Malware-as-a-Service (MaaS), która pozwala przestępcom gwałtownie przerzucać te same klocki (phishing, dystrybucja APK, socjotechnika, moduły malware) na kolejne marki i sektory.

Group-IB opisuje, iż kampania wystartowała w lipcu 2025, a mocno eskalowała w styczniu 2026 (zgranie z pikiem rozliczeń), wykorzystując łańcuch ataku łączący fałszywe strony, WhatsApp, sideloading złośliwych APK oraz elementy vishingu w celu doprowadzenia do przejęcia urządzenia i finalizacji nieautoryzowanych transferów.

W skrócie

• Atakujący podszywają się pod Coretax i nakłaniają do instalacji fałszywych APK spoza sklepu.
• Operacja jest wiązana głównie z klastrem GoldFactory i wieloma rodzinami malware (m.in. Gigabud.RAT, MMRat).
• Nadużyto ponad 16 zaufanych marek (sektor publiczny + finanse), co umożliwiło „poziome” skalowanie kampanii.
• Szacowany wpływ finansowy w Indonezji: ok. 1,5–2 mln USD (agregatowo, na poziomie kraju).
• GoldFactory jest szerzej znany z mobilnych kampanii bankowych w regionie APAC i powiązań z rodziną Gigabud.

Kontekst / historia / powiązania

GoldFactory to grupa nastawiona na zysk, kojarzona z rozwijaniem i operacjonalizacją mobilnego malware bankowego w Azji i Pacyfiku. W publicznych opracowaniach podkreśla się ich dojrzałość operacyjną, intensywne użycie socjotechniki (smishing/phishing) oraz powiązania z ekosystemem Gigabud.

Wątek „brand abuse + dystrybucja z trojanizowanych kanałów” przewija się też w wcześniejszych kampaniach opisywanych przez media branżowe: atakujący potrafią modyfikować legalne aplikacje (np. bankowe), dołączać komponenty zdalnego dostępu/backdoory i rozprowadzać je przez strony podszywające się pod instytucje lub usługi publiczne.

Analiza techniczna / szczegóły luki

1) Łańcuch infekcji (Coretax → WhatsApp → APK → przejęcie urządzenia)

Z perspektywy TTP (technik i procedur), kampania opiera się o klasyczny, ale bardzo skuteczny schemat:

• Impersonacja (fałszywa domena/landing page podobna do Coretax),
• Socjotechnika w kanałach zaufania (WhatsApp) i/lub vishing,
• Sideloading APK (ominięcie kontroli sklepu),
• Nadanie uprawnień pozwalających na przejęcie sesji i inicjowanie operacji.

2) Uprawnienia i zachowania wysokiego ryzyka

Group-IB zwraca uwagę na elementy typowe dla przejmowania urządzeń w mobilnych fraudach: żądania dostępu do SMS oraz Accessibility Services (często wykorzystywane do automatyzacji kliknięć, przechwytywania treści i sterowania ekranem).

W warstwie behawioralnej sygnałami alarmowymi są m.in. podejrzane funkcje typu screen recording, overlay injection czy zachowania wskazujące na remote access.

3) „Współdzielona infrastruktura” jako mnożnik skali

Najciekawszy aspekt tej operacji to nie pojedynczy dropper, ale modułowość i reużywalność infrastruktury: te same wzorce hostingu, szablony stron, komponenty dystrybucji i (prawdopodobnie) playbooki socjotechniczne są przenoszone pomiędzy wieloma brandami. Skutek: kampania nie „uderza w jedną instytucję”, tylko w cały ekosystem usług cyfrowych.

Praktyczne konsekwencje / ryzyko

1. Ryzyko finansowe (ATO/ATO-like + fraud): przejęcie urządzenia i kanałów autoryzacji (SMS/OTP, dostępność) zwiększa szanse na skuteczne przelewy i przejęcia kont.
2. Ryzyko reputacyjne dla marek: masowe podszywanie się pod instytucje publiczne i firmy finansowe rozmywa zaufanie do oficjalnych kanałów.
3. Ryzyko operacyjne dla banków i fintechów: choćby przy niskim „conversion rate” na pojedynczym etapie, industrializacja i skala dystrybucji robią różnicę (większa liczba prób = większa liczba incydentów).
4. Ryzyko „eksportu” TTP: media branżowe już wcześniej opisywały, iż taktyki GoldFactory sprawdzają się w wielu krajach APAC, co sprzyja replikacji modelu na inne regiony.

Rekomendacje operacyjne / co zrobić teraz

Dla organizacji (banki, instytucje publiczne, operatorzy usług)

• Brand protection & takedown: ciągłe polowanie na domeny typosquatting, klony landing page, kampanie w komunikatorach; szybka ścieżka zgłoszeń i blokad. (To kluczowe, bo kampania skaluje się „horyzontalnie” na wiele marek.)
• Telemetria fraudowa na urządzeniu: korelacja sygnałów typu nadużycie Accessibility, overlay, podejrzane nagrywanie ekranu, nietypowe sekwencje kliknięć i czas reakcji (behavioral).
• Twarde polityki MDM/EMM (dla flot): blokada sideloadingu, allowlista aplikacji, kontrola źródeł instalacji, audyt uprawnień.
• Detekcje na warstwie sieciowej: blokady znanych wzorców hostingu/C2, reputacja URL, sandboxing linków z kampanii podszywania.
• Komunikacja kryzysowa: jasny komunikat „instalujemy tylko ze sklepu X”, podpisy/certyfikaty aplikacji, lista oficjalnych domen, szybkie ostrzeżenia w kanałach, które przestępcy nadużywają.

Dla użytkowników (praktycznie)

• Nie instaluj aplikacji „podatkowych” z linków w wiadomościach/WhatsApp — tylko oficjalny sklep i weryfikacja wydawcy.
• Jeśli aplikacja żąda Accessibility i dostępu do SMS bez wyraźnego powodu — traktuj to jako czerwone światło.
• Gdy pojawia się presja czasu/telefon „z urzędu” (vishing) + link do APK — przerwij rozmowę i zweryfikuj kanałem oficjalnym.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Co jest „nowe” lub istotnie inne w tym case’ie w porównaniu do klasycznego phishingu mobilnego:

• Skalowanie przez reużywalną infrastrukturę MaaS: zamiast jednorazowej kampanii pod jedną usługę, mamy „fabrykę” podszyć, którą można gwałtownie przełączać na kolejne marki.
• Fuzja fraud + malware: phishing nie kończy się na wyłudzeniu danych, tylko prowadzi do pełniejszego przejęcia urządzenia i możliwości wykonania operacji (przelewy, przechwytywanie kodów, automatyzacja).
• Spójność TTP z wcześniejszymi kampaniami GoldFactory: podszywanie pod instytucje/usługi + dystrybucja zmodyfikowanych aplikacji to wzorzec opisywany już w 2025 r.

Podsumowanie / najważniejsze wnioski

Kampania fałszywych aplikacji Coretax w Indonezji to przykład, jak cyberprzestępczość mobilna dojrzewa do modelu „platformowego”: ten sam kręgosłup infrastruktury i socjotechniki może napędzać wiele równoległych podszyć i wiele rodzin malware. Dla obrońców oznacza to konieczność myślenia nie tylko „jak zablokować jedną aplikację”, ale jak rozbroić pipeline: dystrybucję, domeny, schematy uprawnień i detekcję zachowań przejętego urządzenia.

Źródła / bibliografia

1. Group-IB – Beyond Tax Returns: How Shared Malware Infrastructure Scales Brand Abuse In Indonesia (19 lutego 2026). (Group-IB)
2. Malpedia (Fraunhofer FKIE) – profil aktora GoldFactory. (Malpedia)
3. The Hacker News – omówienie kampanii GoldFactory i podszyć usług publicznych (4 grudnia 2025). (The Hacker News)
4. TechRadar Pro – opis trojanizowania aplikacji bankowych i rodzin hooking malware (5 grudnia 2025). (TechRadar)