Недавно CRIL выявила вредоносный сокращенный URL hxxps[://]bit[.]ly/nubankmodulo, который перенаправляет пользователей на URL GoatRAT -hxxps://goatrat[.]com/apks/apk20.apk. На этом сайте размещено вредоносное ПО для Android, а загружаемый APK-файл называется "apk20.apk", который выдает себя за связанный с бразильским банком, известным как NU bank.
Проанализировав вредоносный APK-файл, CRIL обнаружили, что он использует сертификат "38661ea0b53f278f620a3f2c8db6da8ef8ca890e", который также встречается в других вредоносных приложениях, связанных с GoatRAT. Более того, домен hxxps[://]goatrat[.]com, с которого загружается APK, служит административной панелью для GoatRAT.
GoatRAT изначально был создан как инструмент удаленного администрирования Android для захвата контроля над устройством жертвы. Однако новая версия GoatRAT функционирует как банковский троянец, специально нацеленный на бразильские банки.
Как и другие типы банковских троянцев, GoatRAT использует службу Accessibility для реализации фреймворка Automatic Transfer System (ATS), который позволяет переводить деньги со счета жертвы с помощью ключа PIX. Ключ PIX используется для осуществления мгновенного платежа. В настоящее время эта вредоносная программа нацелена на три бразильских банка: NUBank, Banco Inter и PagBank.
Indicators of Compromise
URLs
- http://api.goatrat.com:3008
- https://bit.ly/nubankmodulo
- https://goatrat.com/apks/apk20.apk
MD5
- 9a8e85cf1bbd32c71f0efa42ffedf1a0
SHA1
- 60358f26853ccba6f137901c57147442e868041b
SHA256
- 6583a9b6b83738e0bf2a261fc04483e18772da3241e467fdef37a8e27b1869a7