GoatRAT IOCs

remote access Trojan IOC

Недавно CRIL выявила вредоносный сокращенный URL hxxps[://]bit[.]ly/nubankmodulo, который перенаправляет пользователей на URL GoatRAT -hxxps://goatrat[.]com/apks/apk20.apk. На этом сайте размещено вредоносное ПО для Android, а загружаемый APK-файл называется "apk20.apk", который выдает себя за связанный с бразильским банком, известным как NU bank.

Проанализировав вредоносный APK-файл, CRIL обнаружили, что он использует сертификат "38661ea0b53f278f620a3f2c8db6da8ef8ca890e", который также встречается в других вредоносных приложениях, связанных с GoatRAT. Более того, домен hxxps[://]goatrat[.]com, с которого загружается APK, служит административной панелью для GoatRAT.

GoatRAT изначально был создан как инструмент удаленного администрирования Android для захвата контроля над устройством жертвы. Однако новая версия GoatRAT функционирует как банковский троянец, специально нацеленный на бразильские банки.

Как и другие типы банковских троянцев, GoatRAT использует службу Accessibility для реализации фреймворка Automatic Transfer System (ATS), который позволяет переводить деньги со счета жертвы с помощью ключа PIX. Ключ PIX используется для осуществления мгновенного платежа. В настоящее время эта вредоносная программа нацелена на три бразильских банка: NUBank, Banco Inter и PagBank.

Indicators of Compromise

URLs

  • http://api.goatrat.com:3008
  • https://bit.ly/nubankmodulo
  • https://goatrat.com/apks/apk20.apk

MD5

  • 9a8e85cf1bbd32c71f0efa42ffedf1a0

SHA1

  • 60358f26853ccba6f137901c57147442e868041b

SHA256

  • 6583a9b6b83738e0bf2a261fc04483e18772da3241e467fdef37a8e27b1869a7
SEC-1275-1
Добавить комментарий