SpyLoan Malware IOCs

Spyware IOC
Опубликовано

Исследователи ESET описывают рост числа обманных кредитных приложений для Android и методы, которые используются ими для обхода Google Play

С начала 2023 года исследователи ESET заметили тревожный рост числа обманных кредитных приложений для Android, которые выдают себя за легальные сервисы персональных займов, обещая быстрый и легкий доступ к средствам.

Несмотря на привлекательный внешний вид, на самом деле эти сервисы предназначены для обмана пользователей, предлагая им кредиты с высокой процентной ставкой и обманчивым описанием, собирая при этом личную и финансовую информацию своих жертв, чтобы шантажировать их и в итоге завладеть их средствами. Поэтому продукты ESET распознают эти приложения по имени SpyLoan, которое напрямую указывает на их шпионские функции в сочетании с заявлениями о предоставлении займов.

  • Приложения, проанализированные исследователями ESET, запрашивают у своих пользователей различную конфиденциальную информацию и передают ее на серверы злоумышленников.
  • Затем эти данные используются для преследования и шантажа пользователей этих приложений, причем, судя по отзывам пользователей, даже в том случае, если кредит не был предоставлен.
  • Телеметрия ESET свидетельствует о заметном росте числа таких приложений в неофициальных магазинах приложений сторонних разработчиков, Google Play и на веб-сайтах с начала 2023 года.
  • Вредоносные приложения для выдачи займов ориентированы на потенциальных заемщиков из Юго-Восточной Азии, Африки и Латинской Америки.
  • Все эти сервисы работают только через мобильные приложения, поскольку злоумышленники не могут получить доступ ко всем конфиденциальным данным пользователя, хранящимся на смартфоне жертвы, через браузеры.

Indicators of Compromise

IPv4

  • 104.21.19.69
  • 110.238.85.186
  • 152.32.140.8
  • 172.67.131.223
  • 3.109.98.108
  • 35.158.118.139
  • 35.86.179.229
  • 43.225.143.80
  • 47.253.175.81
  • 47.253.49.18
  • 47.254.33.250
  • 47.56.128.251
  • 47.89.159.152
  • 47.89.211.3
  • 47.91.110.22
  • 49.0.193.223
  • 54.71.70.186

Domains

  • ag.ahymvoxxg.com
  • api.yumicash.com
  • apitai.coccash.com
  • app.truenaira.co
  • cy.amorcash.com
  • eg.easycredit-app.com
  • hwpamjvk.whcashph.com
  • iu.iuuaufbt.com
  • kk.softheartlend2.com
  • la6gd.cashwow.club
  • mpx.mpxoptim.com
  • oy.oyeqctus.com
  • pss.aakredit.in
  • qt.qtzhreop.com
  • rest.bhvbhgvh.space
  • www.credibusco.com
  • www.guayabacash.com

SHA1

  • 0951252e7052ab86208b4f42eb61fc40ca8a6e29
  • 136067ac519c23ef7b9e8eb788d1f5366ccc5045
  • 1f01654928fc966334d658244f27215db00be097
  • 2010b9d4471bc5d38cd98241a0ab1b5b40841d18
  • 532d17f8f78fab9db953970e22910d17c14ddc75
  • 690375ae4b7d5d425a881893d0d34bb63462dbbf
  • 6dc453125c90e3fa53988288317e303038db3ac6
  • 720127b1920ba8508d0bbebea66c70ef0a4cbc37
  • 892cf1a5921d34f699691a67292c1c1fb36b45a8
  • 9c430eba0e50bd1395bb2e0d9dded9a789138b46
  • b4b43fd2e15ff54f8954bac6ea69634701a96b96
  • c0a6755ff0cca3f13e3c9980d68b77a835b15e89
  • c0d56b3a31f46a7c54c54abee0b0bbce93b98bbc
  • d5104bb07965963b1b08731e22f00a5227c82af5
  • df38021a7b0b162fa661db9d390f038f6dc08f72
  • e5ac364c1c9f93599de0f0adc2cf9454f9ff1534
  • f79d612398c1948ddc8c757f9892efbe3d3f585d
Похожие записи:
  1. FurBall Android malware IOCs
  2. StrongPity Backdoor IOCs
  3. Transparent Tribe APT IOCs - Part 2
  4. Троянские приложения WhatsApp и Telegram охотятся за криптовалютными кошельками
  5. AhRat Malware IOCs
Android ESET SpyLoan
Добавить комментарий