SharkBot Dropper IOCs - Part 2

security IOC

За последние несколько месяцев Bitdefender заметили общую тему: вредоносные приложения распространяются непосредственно из Google Play Store. Если что-то приходит из официального магазина, люди могут быть склонны считать, что это безопасно. Исследования показали, что это не так.

SharkBot Dropper

Всего несколько месяцев назад Bitdefender обнаружил в официальном магазине множество вредоносных приложений, навязывающих агрессивную нежелательную рекламу, которая могла привести к более серьезным атакам.

Благодаря нашей поведенческой технологии, разработанной для обнаружения подозрительного поведения программного обеспечения в режиме реального времени, мы обнаружили приложения, загруженные из Google Play, которые вскоре после установки, в зависимости от местонахождения пользователя, становились дропперами для баннеров SharkBot.

Магазин Google Play, скорее всего, обнаружит трояна-банкера, загруженного в его хранилище, поэтому преступники прибегают к более скрытым методам. Одним из способов является приложение, иногда легитимное с некоторыми рекламируемыми функциями, которое служит дроппером для более коварных вредоносных программ.

Обнаруженные Bitdefender приложения замаскированы под файловые менеджеры, что объясняет, почему они запрашивают у пользователя разрешение на установку внешних пакетов (REQUEST_INSTALL_PACKAGES). Разумеется, это разрешение используется для загрузки вредоносного ПО. Поскольку приложениям Google Play требуется функциональность файлового менеджера только для установки другого приложения, а вредоносное поведение активируется для ограниченного круга пользователей, их сложно обнаружить.

Хотя ни одно из приложений, рассматриваемых в данном исследовании, до сих пор не доступно в Google Play Store, они все еще присутствуют в Интернете в различных магазинах сторонних разработчиков, что делает их актуальной угрозой.

Большинство пользователей, загрузивших эти приложения, в основном из Великобритании и Италии, небольшое меньшинство - из других стран.

Приложение устанавливает образец SharkBot с ярлыком _File Manager, и пользователя обманывают, заставляя думать, что необходимо установить обновление приложения.

Профиль разработчика в Google Play, похоже, виден только пользователям из Италии и Великобритании. Зайти на его страницу без указания кода страны невозможно.

Многие пользователи утверждают, что приложение содержит вредоносное ПО, а цель преступников становится очевидной, поскольку все отрицательные отзывы о приложении написаны на итальянском языке.

При более детальном рассмотрении приложения X-File Manager Bitdefender обнаружили, что образец имеет множество разрешений, ожидаемых от файлового менеджера, включая READ_EXTERNAL_STORAGE, WRITE_EXTERNAL_STORAGE, GET_ACCOUNTS, REQUEST_INSTALL_PACKAGES, QUERY_ALL_PACKAGES, REQUEST_DELETE_PACKAGES.

После анализа кода исследователи обнаружили, что приложение выполняет проверку антиэмулятора и нацелено на пользователей из Великобритании и Италии, проверяя, соответствует ли SIM ISO IT или GB. Оно также проверяет, установлено ли на устройствах пользователей хотя бы одно из целевых банковских приложений.

Вот список приложений, отслеживаемых вредоносной программой, в который входят и другие финансовые сервисы. Стоит отметить, что это не фиксированный список, так как злоумышленники всегда могут добавить поддержку новых приложений.

com.barclays.android.barclaysmobilebanking Barclays
com.bankofireland.mobilebanking Bank of Ireland Mobile Banking
com.cooperativebank.bank The Co-operative Bank
ftb.ibank.android AIB (NI) Mobile
com.nearform.ptsb permanent tsb
uk.co.mbna.cardservices.android MBNA Mobile App
com.danskebank.mobilebank3.uk Mobile Bank UK – Danske Bank
com.barclays.bca Barclaycard
com.tescobank.mobile Tesco Bank and Clubcard Pay+
com.virginmoney.uk.mobile.android Virgin Money Mobile Banking
com.cooperativebank.smile "smile - the internet bank"
com.starlingbank.android Starling Bank - Mobile Banking
uk.co.metrobankonline.mobile.android.production Metro Bank
uk.co.santander.santanderUK Santander Mobile Banking
uk.co.hsbc.hsbcukmobilebanking HSBC UK Mobile Banking
uk.co.tsb.newmobilebank TSB Mobile Banking
com.grppl.android.shell.BOS Bank of Scotland Mobile App
com.grppl.android.shell.halifax Halifax Mobile Banking
com.grppl.android.shell.CMBlloydsTSB73 Lloyds Bank Mobile Banking
it.copergmps.rt.pf.android.sp.bmps Banca MPS
it.extrabanca.mobile NewExtraMobileBank
it.relaxbanking RelaxBanking Mobile
it.bnl.apps.banking BNL
it.bnl.apps.enterprise.hellobank Hello Bank!
it.ingdirect.app ING Italia
it.popso.SCRIGNOapp SCRIGNOapp
posteitaliane.posteapp.appbpol BancoPosta
com.latuabancaperandroid Intesa Sanpaolo Mobile
com.latuabancaperandroid.pg Intesa Sanpaolo Business
com.latuabancaperandroid.ispb Intesa Sanpaolo Private
com.fineco.it Fineco
com.CredemMobile Credem
com.bmo.mobile BMO Mobile Banking
com.fideuram.alfabetobanking Alfabeto Banking
com.lynxspa.bancopopolare YouApp - Mobile Banking
com.vipera.chebanca CheBanca!

URL перенаправляет на IP-адрес: http://94[.]198[.]53[.]205/loader_08_2022_03e19619736ebb206d5dc24b6ca3a84f/

Приложение выполняет запрос по URI, скачивает пакет и записывает вредоносную полезную нагрузку на устройство. Дроппер имитирует обновление текущего приложения для завершения установки и просит пользователя установить сброшенный APK.

Indicators of Compromise

URLs

  • http://94.198.53.205/loader_08_2022_03e19619736ebb206d5dc24b6ca3a84f/

SHA256

  • 0fb6f45af7834c742db0c7b68a61d177c49bb4c59e19640c62723c6b38a777ad
  • 218c6e2327c8342192dc58c6e793fc3d5cba7f15e4b2f188c98cd4ba48bf244a
  • 25e2a148a586acc6b741a64f42c618796a08ec9745eb3d1170acabf9e732a366
  • 5481908f7cf651fde7b902f70c5c6f900a413de5976e1e0ba2b60c44f2a060c4
  • 5e858fa31abe3b048be815a96234daa1123a9aab113d6f80b95dbf9437fb7343
  • 5ee5894c2be17c542601c113225862129ed96da6e6bd0d80c5ef0d500ad21fe3
  • 618ee1e79a927c57831527faf19739276f2706b6200ee8f52aa0eb0c66de6828
  • 6f1eb9c21b026eecfd65459ec4cffe3954d24619010741e18722108d7bacf3d1
  • 72512e7de8099e66beb9b4395b8c4a5c1dfd413c85977a31480ff8bd68b2ca6e
  • 844efceeeeff73da35ac13c217ad5723c456ecec01fada7f92b9203fc29e7dcd
  • 900fe34d5394689c86ead76666e79620ad7a10109c75d661af9bc7d8fb0c27b8
  • 9a8345bcbc06fc4225d7b03d0a8a4c04c3e7b2fafbf9e00e7ca57dd95034ae34
  • b45edcbdfe9ad1a1990d723dca4405014a4fa1c578b75799219a4298b16175de
  • e2d2e7683e07c5ffa7b5475433057cec5c2993167f47ea650941f9871923792d
  • fa7947933a3561b7174f1d94472dcf8633a03749c14342ce65dafe94db361140

 

SEC-1275-1
Добавить комментарий