BianLian (Hydra) Botnet IOCs

botnet IOC

FortiGuard Labs изучает ботнет Android BianLian (также известный как Hydra). Ботнет появился в 2018 году, он все еще жив в 2022 году.
Вредоносная программа для Android обычно выдает себя за видеоплеер, приложение Google Play или мобильное банковское приложение. После установки она просит жертву активировать Accessibility Services, чтобы приложение "работало правильно". В действительности это необходимо вредоносной программе для наложения изображений и проверки форм без взаимодействия с пользователем.

BianLian Botnet

Установленное приложение, по всей видимости, исчезает со смартфона, оставляя жертву под впечатлением, что оно не работало или завершилось аварийно. На самом деле вредоносная программа работает в фоновом режиме и связывается с C2 для мониторинга приложений.

Каждый раз, когда жертва запускает приложение, отслеживаемое субъектами угрозы, вредоносная программа загружает актуальный HTML и изображения для внедрения на смартфон. Внедренная веб-страница отображается как наложение на настоящее приложение, но жертва не имеет возможности увидеть подвох. Именно таким образом субъекты угроз получают учетные данные мобильных банков своих жертв. Важно отметить, что эта вредоносная программа никак не влияет на целевые приложения и не эксплуатирует их. Вместо этого она вставляется между пользователем и приложением, чтобы перехватить учетные данные пользователя, подобно атаке "человек посередине".

Вредоносная программа Bian Lian, работающая в фоновом режиме, регулярно делает скриншоты экрана смартфона жертвы. Таким образом вредоносная программа может украсть банковские учетные данные.

В настоящее время ботнет также развивает поддержку Photo TAN, который используют некоторые банки. Photo TAN - это популярный метод двухфакторной аутентификации, при котором пользователь сканирует смартфоном матрицу, изображенную на его компьютере, ноутбуке или планшете. Таким образом генерируется TAN для проверки онлайн-заказов.

Indicators of Compromise

Dimains

  • zhgggga.in

URLs

  • http://loa5ta2rso7xahp7lubajje6txt366hr3ovjgthzmdy7gav23xdqwnid.onion/api/mirrors
  • http://zhgggga.in

SHA256

  • a3b826de0c445f0924c50939494a26b0d99ef3ccac80faacca98673625656278
SEC-1275-1
Добавить комментарий