Cyble Research Labs наткнулась на сообщение в Twitter, в котором исследователь упомянул о распространении ERMAC 2.0. ERMAC - это банковский троянец для Android, который впервые был обнаружен в конце августа 2021 года, когда он был найден в Польше. ERMAC 1.0 был способен украсть учетные данные 378 приложений.
ERMAC 2.0
Недавно Cyble Research Labs заметила, что обновленная версия - ERMAC 2.0 - была доступна на подпольных форумах для аренды за $5K/месяц и нацелена на кражу учетных данных 467 приложений.
ЕРМАК 2.0 доставляется через поддельные сайты. Например, через сайт Bolt Food - платформу доставки, предоставляющую высококачественные услуги по доставке еды. Поддельное приложение выдает себя за приложение Bolt Food для Android и нацелено на польских пользователей Bolt Food.
Помимо поддельного сайта Bolt Food, EMRAC 2.0 распространяется через поддельные сайты обновления браузеров
Indicators of Compromise
IPv4
- 193.106.191.116
- 45.141.85.25
Domains
- bolt-food.site
- boltfood.site
- apkphoto.co.nz
URLs
- http://bolt-food.site
- http://193.106.191.116
- http://boltfood.site
- http://45.141.85.25
- http://apkphoto.co.nz
MD5
- 1e0586aef0f106031260fecb412c5cdf
- 1bb6da78e3c379afde1978aecfa067b8
- 65f634ef24fd686225aa4765fc63fe2b
SHA1
- 301e2ab9707abe193bb627c60f5e4b8736c86fe9
- e2fb7981688060fc672f844c65e89d12f3e5cafe
- fe4a7d079cc00e730412c7a6e0b177829ee58a73
SHA256
- 2cc727c4249235f36bbc5024d5a5cb708c0f6d3659151afc5ae5d42d55212cb5
- df298b0aba5aad2886ae720577557b3e48fba905055dcee0fd74336660bfd0a2
- df298b0aba5aad2886ae720577557b3e48fba905055dcee0fd74336660bfd0a2