Hook и ERMAC Malware IOCs

security IOC
Опубликовано

Hook и ERMAC - семейства вредоносных программ для Android, рекламируемые актером под ником "DukeEugene". Hook является последним вариантом, выпущенным этим агентом, и впервые был анонсирован в начале 2023 года. В этом анонсе актер утверждает, что Hook был написан с нуля.

В результате проведенного исследования NCC Group пришли к выводу, что в качестве основы для Hook был использован исходный код ERMAC. Все команды (всего 30), которые оператор вредоносной программы может послать на устройство, зараженное ERMAC, существуют и в Hook. Реализация кода для этих команд практически идентична. Основные возможности ERMAC связаны с отправкой SMS-сообщений, отображением фишингового окна поверх легитимного приложения, извлечением списка установленных приложений, SMS-сообщений и учетных записей, а также автоматической кражей начальных фраз восстановления для нескольких криптовалютных кошельков.

В Hook появилось много новых возможностей, в общей сложности 38 дополнительных команд, если сравнивать последнюю версию Hook с ERMAC. Наиболее интересными нововведениями в Hook являются: трансляция экрана жертвы и взаимодействие с интерфейсом для получения полного контроля над зараженным устройством, возможность сфотографировать жертву с помощью фронтальной камеры, кража cookies, связанных с сессиями входа в Google, а также добавление поддержки кражи семян восстановления из дополнительных криптовалютных кошельков.

Hook просуществовал относительно недолго. Впервые он был анонсирован 12 января 2023 года, а 19 апреля 2023 года было объявлено о закрытии проекта в связи с "уходом на специальную военную операцию". 11 мая 2023 года актеры заявили, что исходный код Hook был продан по цене 70 000 долл. Если эти заявления соответствуют действительности, то это может означать, что в будущем мы увидим новые интересные версии Hook.

Indicators of Compromise

IPv4

  • 108.61.166.245
  • 165.232.78.246
  • 176.100.42.11
  • 176.113.115.150
  • 176.113.115.66
  • 176.113.115.67
  • 185.186.246.69
  • 193.106.191.116
  • 193.106.191.118
  • 193.106.191.121
  • 193.106.191.148
  • 193.56.146.176
  • 20.108.0.165
  • 20.210.252.118
  • 20.249.63.72
  • 31.41.244.187
  • 35.90.154.240
  • 35.91.53.224
  • 45.159.248.25
  • 45.81.39.149
  • 45.93.201.92
  • 5.42.199.22
  • 5.42.199.3
  • 5.42.199.91
  • 51.15.150.5
  • 62.204.41.94
  • 62.204.41.98
  • 68.178.206.43
  • 91.213.50.62
  • 91.215.85.22
  • 91.215.85.223
  • 91.215.85.23
  • 91.215.85.37
  • 92.243.88.25

SHA256

  • 6d8707da5cb71e23982bd29ac6a9f6069d6620f3bc7d1fd50b06e9897bc0ac50
  • c5996e7a701f1154b48f962d01d457f9b7e95d9c3dd9bbd6a8e083865d563622
  • d651219c28eec876f8961dcd0a0e365df110f09b7ae72eccb9de8c84129e23cb
  • e0bd84272ea93ea857cc74a745727085cf214eef0b5dcaf3a220d982c89cea84
Похожие записи:
  1. ERMAC Malware IOCs
  2. Nexus Botnet IOCs
  3. DroidJack RAT IOCs
  4. Chameleon Malware IOCs
  5. Meterpreter Trojan IOCs
Android ERMAC Hook NCC Group
Добавить комментарий