Команда McAfee Mobile Research Team обнаружила в Южной Корее банковский троян для Android, подписанный ключом, используемым легитимными приложениями в прошлом году.
По своей конструкции Android требует, чтобы все приложения были подписаны ключом, другими словами, хранилищем ключей, чтобы их можно было установить или обновить. Поскольку этот ключ может использоваться только разработчиком, который его создал, считается, что приложение, подписанное тем же ключом, принадлежит тому же разработчику.
Именно так обстоит дело с этим банковским трояном для Android, который использует этот легитимный ключ подписи, чтобы обойти методы обнаружения на основе сигнатур. И до сих пор эти банковские трояны не распространялись в Google Play или официальных магазинах приложений. Об этой угрозе было сообщено компании, владеющей законным ключом, в прошлом году, и компания приняла меры предосторожности. Компания подтвердила, что заменила ключ подписи, и в настоящее время все ее легитимные приложения подписаны новым ключом подписи.
Indicators of Compromise
URLs
- http://o20.orange-app.today
- http://o20-app.dark-app.net
- http://orange20.orange-app.today
SHA256
- 125772aac026d7783b50a2a7e17e65b9256db5c8585324d34b2e066b13fc9e12
- 21ec124012faad074ee1881236c6cde7691e3932276af9d59259df707c68f9dc
- 52021a13e2cd7bead4f338c8342cc933010478a18dfa4275bf999d2bc777dc6b
- 60f5deb79791d2e8c2799e9af52adca5df66d1304310d1f185cec9163deb37a2
- 6634fdaa22db46a6f231c827106485b8572d066498fc0c39bf8e9beb22c028f6
- 756cffef2dc660a241ed0f52c07134b7ea7419402a89d700dffee4cc6e9d5bb6
- 7f4670ae852ec26f890129a4a3d3e95c079f2f289e16f1aa089c86ea7077b3d8
- 9621d951c8115e1cc4cf7bd1838b8e659c7dea5d338a80e29ca52a8a58812579
- 9e7c9b04afe839d1b7d7959ad0092524fd4c6b67d1b6e5c2cb07bb67b8465eda
- a320c0815e09138541e9a03c030f30214c4ebaa9106b25d3a20177b5c0ef38b3
- c7f32890d6d8c3402601743655f4ac2f7390351046f6d454387c874f5c6fe31f
- dbc7a29f6e1e91780916be66c5bdaa609371b026d2a8f9a640563b4a47ceaf92
- e6c74ef62c0e267d1990d8b4d0a620a7d090bfb38545cc966b5ef5fc8731bc24