Antidot Trojan IOCs

remote access Trojan

Банковский троянец для Android Antidot маскируется под приложение Google Play Update. Он стратегически нацелен на пользователей Android в различных регионах и использует методы VNC и Overlay для сбора учетных данных.

  • Новый банковский троянец для Android под названием Antidot, маскирующийся под приложение для обновления Google Play, отображает поддельные страницы обновлений Google Play на нескольких языках, что указывает на широкий круг целей.
  • Antidot использует целый ряд вредоносных функций, включая оверлейные атаки и кейлоггинг, что позволяет ему компрометировать устройства и собирать конфиденциальную информацию.
  • Antidot поддерживает связь со своим командно-контрольным (C&C) сервером через WebSocket, обеспечивая двунаправленное взаимодействие в режиме реального времени для выполнения команд.
  • Вредоносная программа выполняет широкий спектр команд, полученных от C&C-сервера, включая сбор SMS-сообщений, инициирование USSD-запросов и даже удаленное управление такими функциями устройства, как камера и блокировка экрана.
  • Для удаленного управления зараженными устройствами Antidot реализовал VNC с использованием MediaProjection.

Indicators of Compromise

URLs

  • http://188.241.240.75:5055
  • http://193.181.23.70:5055
  • http://213.255.246.209:5055
  • http://46.228.205.159:5055/
  • https://wgona.click/

MD5

  • 0b6f0790c32a16e413c89bf65018ec6d
  • 588d01860865256c378715ad728757cf
  • ac79187fd3024fb9cb5d1a872461503c
  • b877636c060e5fb47f467e557acdc9ac

SHA1

  • 13479bb7364b710b2bb4a55ded4877d8232c0d90
  • 1c1d2fc881ea0565a372f71baf26454756bd3243
  • bb2a1b5909f31f1c4d694899d502b1d9f95c66c2
  • c48240ce763e07b690e4fe79d6dfe69eeeebf8bd

SHA256

  • 654cfe773e92261a7e2c74f4b16bd36be9286a95840b49139cf18c8d4333345b
  • 7a0664c3a9914531c84d875669f6249b433d09155b1c06ad3654c210a1798ee0
  • 9f8a49432e76b9c69d33ea228cc44254bc0a58bfa15eb0c51a302c59db81caa3
  • a6f6e6fb44626f8e609b3ccb6cbf73318baf01d08ef84720706b205f2864b116
Комментарии: 0