Fleckpe Trojan IOCs

remote access Trojan IOC

По данным Kaspersky Lab, троян действует с 2022 года. Kaspersky обнаружили одиннадцать зараженных Fleckpe приложений в Google Play, которые были установлены на более чем 620 000 устройств. К моменту публикации отчета все эти приложения были удалены, но злоумышленники могли установить и другие, пока еще не обнаруженные приложения, поэтому реальное число установок может быть больше.

Fleckpe Trojan

Когда приложение запускается, оно загружает сильно обфусцированную нативную библиотеку, содержащую вредоносный дроппер, который расшифровывает и запускает полезную нагрузку из активов приложения.

Полезная нагрузка связывается с C&C-сервером угрожающих субъектов, отправляя информацию о зараженном устройстве, такую как MCC (Mobile Country Code) и MNC (Mobile Network Code), которые могут быть использованы для идентификации страны и оператора связи жертвы. C&C-сервер возвращает страницу платной подписки. Троянец открывает страницу в невидимом веб-браузере и пытается оформить подписку от имени пользователя. Если для этого требуется код подтверждения, вредоносная программа получает его из уведомлений (доступ к которым был запрошен при первом запуске).

Найдя код, троянец вводит его в соответствующее поле и завершает процесс подписки. Жертва продолжает пользоваться законными функциями приложения, например, устанавливает обои или редактирует фотографии, не подозревая о том, что подписана на платную услугу.

Троян продолжает развиваться. В последних версиях его создатели усовершенствовали нативную библиотеку, переместив туда большую часть кода подписки. Теперь полезная нагрузка только перехватывает уведомления и просматривает веб-страницы, выступая в роли моста между нативным кодом и компонентами Android, необходимыми для приобретения подписки. Это было сделано для того, чтобы значительно усложнить анализ и затруднить обнаружение вредоносной программы с помощью инструментов безопасности. В отличие от нативную библиотеки, полезная нагрузка практически не имеет возможностей для уклонения, хотя злоумышленники и добавили в последнюю версию некоторую обфускацию кода.

Kaspersky Lab обнаружили, что троянец содержит жестко закодированные тайские значения MCC и MNC, которые, очевидно, использовались для тестирования. В отзывах на зараженные приложения в Google Play преобладали тайскоязычные пользователи. Это навело нас на мысль, что данная вредоносная программа нацелена на пользователей из Таиланда, хотя наша телеметрия показала, что жертвы были в Польше, Малайзии, Индонезии и Сингапуре.

Indicators of Compromise

URLs

  • http://54.245.21.104
  • http://a.hdmodecam.live
  • http://ac.iprocam.xyz
  • http://ad.iprocam.xyz
  • http://ae.mveditor.xyz
  • http://ap.iprocam.xyz
  • http://api.odskguo.xyz
  • http://b.hdmodecam.live
  • http://b7.photoeffect.xyz
  • http://b8c.mveditor.xyz
  • http://ba.beautycam.xyz
  • http://ba3.photoeffect.xyz
  • http://d3.mveditor.xyz
  • http://f0.photoeffect.xyz
  • http://f6.beautycam.xyz
  • http://f8a.beautycam.xyz
  • http://fa.gifcam.xyz
  • http://fb.gifcam.xyz
  • http://fl.gifcam.xyz
  • http://gbcf.odskguo.xyz
  • http://l.hdmodecam.live
  • http://m11.slimedit.live
  • http://m12.slimedit.live
  • http://m13.slimedit.live
  • http://t1.twmills.xyz
  • http://t2.twmills.xyz
  • http://t3.twmills.xyz
  • http://track.odskguo.xyz
  • http://vd.toobox.online
  • http://ve.toobox.online
  • http://vt.toobox.online

MD5

  • 063093eb8f8748c126a6ad3e31c9e6fe
  • 0beec878ff2645778472b97c1f8b4113
  • 101500cd421566690744558af3f0b8cc
  • 175c59c0f9fab032dde32c7d5beede11
  • 1879c233599e7f2634ef8d5041001d40
  • 2b6b1f7b220c69d37a413b0c448aa56a
  • 37162c08587f5c3009afceec3efa43eb
  • 3d0a18503c4ef830e2d3fbe43ecbe811
  • 40c451061507d996c0ab8a233bd99ff8
  • 5ce7d0a72b1bd805c79c5fe3a48e66c2
  • 7f391b24d83cee69672618105f8167e1
  • 8095c11e404a3e701e13a6220d0623b9
  • aa1cec619bf65972d220904130aed3d9
  • b66d77370f522c6d640c54da2d11735e
  • bdbbf20b3866c781f7f9d4f1c2b5f2d3
  • c5dd2ea5b1a292129d4ecfbeb09343c4
  • d39b472b0974df19e5efbda4c629e4d5
  • dd16bd0cb8f30b2f6daac91af4d350be
  • e92ff47d733e2e964106edc06f6b758a
  • ecdc4606901abd9bb0b160197efe39b7
  • f3ecf39bb0296ac37c7f35ee4c6eddbc
  • f671a685fc47b83488871ae41a52bf4c
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий