Cyble Research & Intelligence Labs (CRIL) обнаружила фишинговый веб-сайт hxxp://lionaiothai[.]com, который выдавал себя за настоящую тайскую авиакомпанию Thai Lion Air и обманом заставлял жертв загрузить вредоносное приложение.
Загруженное вредоносное приложение является троянцем удаленного доступа (RAT), который получает команды от командно-контрольного сервера (C&C) и выполняет различные действия. RAT обладает расширенными возможностями, такими как запись экрана и использование службы доступа для кражи банковских реквизитов.
В ходе расследования RAT Cyble обнаружили, что сертификат, используемый для подписи этого вредоносного приложения, был найден в более чем 50 аналогичных образцах вредоносных программ, использующих один и тот же исходный код. Эти образцы выдавали себя за государственные учреждения, приложения для покупок и банковские кредитные приложения из Таиланда, Филиппин и Перу.
Indicators of Compromise
URls
- http://8.219.85.91:8888/push-streaming?id=1234
- http://bweri6.cc/x/command?token=&width=1080&height=1920
- http://cmnb9.cc
- http://lionaiothai.com
MD5
- b2429371b530d634b2b86c331515904f
- ca6aa6c5a7910281a899695e61423079
SHA1
- 1012a7627b6b82e3afb87380bbfda515764ce0a6
- ea5359c8408cdb4ebb7480704fe06a8e3bfa37c3
SHA256
- a940c9c54ff69dacc6771f1ffb3c91ea05f7f08e6aaf46e9802e42f948dfdb66
- ec1e2ff5c72c233f2b5ad538d44059a06b81b5e5da5e2c82897be1ca4539d490