Trojan-Spy.AndroidOS.CanesSpy IOCS

Spyware IOC
Опубликовано

В WhatsApp в нескольких, ранее безобидных, модах был обнаружен шпионский модуль, который Kaspersky Lab определяет как Trojan-Spy.AndroidOS.CanesSpy.

Манифест троянизированного клиента содержит подозрительные компоненты (сервис и широковещательный приемник), которых нет в оригинальном клиенте WhatsApp. Приемник широковещательных сообщений прослушивает сообщения от системы и других приложений, например, телефон начал заряжаться, получено текстовое сообщение или загрузчик завершил загрузку. Когда приемник получает подобное сообщение, он вызывает обработчик события. В шпионском модуле WhatsApp приемник запускает сервис, который запускает шпионский модуль при включении телефона или начале зарядки.

Сервис обращается к константе Application_DM в коде вредоносной программы для выбора командно-контрольного (C&C) сервера, с которым в дальнейшем будет связываться зараженное устройство.

При запуске вредоносный имплант отправляет POST-запрос, содержащий информацию об устройстве, на сервер оператора угроз по пути /api/v1/AllRequest. Эта информация включает IMEI, номер телефона, код страны, код мобильной сети и т.д. Троянец также запрашивает данные о конфигурации, такие как пути загрузки различных типов данных, интервалы между запросами к C&C и т.д. Кроме того, каждые пять минут модуль передает информацию о контактах и учетных записях жертвы.

После успешной загрузки информации об устройстве вредоносная программа начинает запрашивать у C&C инструкции, которые разработчики называют "приказами", через заранее настроенные интервалы времени (по умолчанию - одна минута).

Обнаружив шпионские модули внутри модов WhatsApp, Kaspersky Lab решили выяснить, как они распространяются. Анализ статистики указал на Telegram как на основной источник. Kaspersky Lab обнаружили множество Telegram-каналов, в основном на арабском и азербайджанском языках.

Indicators of Compromise

URLs

  • https://android-soft-store.com
  • https://application-marketing.com
  • https://goldnwhats.app
  • https://omarwhats.app
  • https://watsabplusgold.com
  • https://whatsagold.app
  • https://whats-mate.com
  • https://whats-mate.net
  • https://whats-media.com
  • https://whats-mydns.com
  • https://whats-mydns.net
  • https://whatsupdates.com
  • https://whats-vpn.com
  • https://whats-vpn.net
  • https://www.3ssem.com
  • https://www.whatsgold.app

MD5

  • 19c489bcd11d7eb84e0ade091889c913
  • 1db5c057a441b10b915dbb14bba99e72
  • 3fda123f66fa86958597018e409e42c0
  • 80d7f95b7231cc857b331a993184499d
  • cbb11b28d2f79ad28abdc077026fc8f2
  • fe46bad0cf5329aea52f8817fa49168c
Похожие записи:
  1. Fleckpe Trojan IOCs
  2. Zanubis Trojan IOCs
  3. Agensla (Agent Tesla) Spyware IOCs
  4. RatMilad Spyware IOCs
  5. Triada Trojan IOCs
Android Kaspersky Lab Spyware trojan
Добавить комментарий