Manuel Statik Analiz — ERMAC Android Banking Trojan | Tehdit: KRITIK
Файл Kimliği
| SHA256 | 14b005352c07490b2922654b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Размер | 2.922.654 byte (2.9MB APK) |
| String Sayisi | 14.563 |
DGA Benzeri C2 Domain
C2: kunibagivope.li — Liechtenstein .li TLD'de Domain Generation Algorithm (DGA) izlenimi veren anlamsız kelime kombinasyonu!
kunibagivope.li -- DGA-like domain (.li = Liechtenstein TLD) -- "kuniba" + "givope" = random syllable kombinasyonu -- .li TLD: az tanınan, analist dikkatini azaltır -- Liechtenstein'da kayıt: GDPR yaptırımından muaf alan
Hedef Uygulamalar
Chrome -- Google Chrome tarayıcı session com.tencent.mm -- WeChat (1.3 Milyar kullanıcı!) AccessibilityService -- Erişilebilirlik servisi overlay saldırısı android.accessibilityservice.AccessibilityService
ERMAC Hakkında
ERMAC, Cerberus Android banking trojan'ının 2021 mirasçısıdır. Rus siber suç forumlarında $3000/ay kiralanmaktadır. 467 banka ve kripto uygulamasını hedeflemektedir. Erişilebilirlik Servisi üzerinden sahte ekran bindirme (overlay) saldırısıyla kullanıcı adı/şifre çalar.
IOC
| SHA256 | 14b005352c07490b2922654b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | kunibagivope.li (.li Liechtenstein) |
| Hedef | WeChat, Chrome, 467 banka uygulaması |
Список IOC (2 индикаторов)
IOC — ERMACAndroid
# SHA256
14b005352c07490b2922654b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
# DOMAIN
kunibagivope.li
| Тип | Значение | Примечание |
|---|---|---|
| sha256 | 14b005352c07490b2922654b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |
| domain | kunibagivope.li |
C2 Серверы (1 зарегистрированных серверов для этого семейства)
| Адрес | Тип | Порт | Протокол | Статус | Страна |
|---|---|---|---|---|---|
| kunibagivope.li | domain | 443 | HTTPS | inactive | — |
Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.