HiddenAds IOCs

security IOC

Команда мобильных исследований McAfee выявила новые вредоносные программы в Google Play Store. Большинство из них маскируются под приложения для очистки, которые удаляют нежелательные файлы или помогают оптимизировать работу устройства. Однако эти вредоносные программы скрываются и постоянно показывают жертвам рекламу. Кроме того, они запускают вредоносные службы автоматически при установке без выполнения приложения.


Эта вредоносная программа использует Contact Provider. Contact Provider - это источник данных, которые вы видите в приложении контактов устройства, а также можете получить доступ к его данным в собственном приложении и передавать данные между устройством и онлайн-сервисами. Для этого Google предоставляет класс ContactsContract. ContactsContract - это контракт между поставщиком контактов и приложениями. В ContactsContract есть класс под названием Directory. Directory представляет собой корпус контактов и реализован как поставщик контента со своими уникальными полномочиями. Таким образом, разработчики могут использовать его, если хотят реализовать пользовательский каталог. Contact Provider может распознать, что приложение использует пользовательский каталог, проверив специальные метаданные в файле манифеста. Важно то, что Contact Provider автоматически опрашивает вновь установленные или замененные пакеты. Таким образом, установка пакета, содержащего специальные метаданные, всегда будет вызывать Contact Provider автоматически.

Подтверждено, что пользователи уже установили от 100K до 1M+ этих приложений. Учитывая, что вредоносная программа работает при установке, установленный номер отражается как номер жертвы. Согласно данным телеметрии McAfee, эта вредоносная программа и ее варианты затрагивают широкий круг стран, включая Южную Корею, Японию и Бразилию.
Эта вредоносная программа является автозапускающейся, поэтому, как только пользователи скачивают ее из Google Play, они сразу же заражаются. И она все еще постоянно разрабатывает варианты, которые публикуются различными аккаунтами разработчиков. Поэтому пользователям нелегко заметить этот вид вредоносного ПО. Об угрозе уже сообщили в Google, и все приложения, о которых сообщалось, были удалены из Play Store.

Indicators of Compromise

URLs

  • http://hw.sdk.functionads.com:8100

SHA256

  • 268a98f359f2d56497be63a31b172bfbdc599316fb7dec086a937765af42176f
  • 4b9a5de6f8d919a6c534bc8595826b9948e555b12bc0e12bbcf0099069e7df90
  • 4d8472f0f60d433ffa8e90cc42f642dcb6509166cfff94472a3c1d7dcc814227
  • 5ca2004cfd2b3080ac4958185323573a391dafa75f77246a00f7d0f3b42a4ca3
  • 5f54177a293f9678797e831e76fd0336b0c3a4154dd0b2175f46c5a6f5782e24
  • 64d8bd033b4fc7e4f7fd747b2e35bce83527aa5d6396aab49c37f1ac238af4bd
  • 690d658acb9022765e1cf034306a1547847ca4adc0d48ac8a9bbdf1e6351c0f7
  • 75259246f2b9f2d5b1da9e35cab254f71d82169809e5793ee9c0523f6fc19e4b
  • 7a502695e1cab885aee1a452cd29ce67bb1a92b37eed53d4f2f77de0ab93df9b
  • 97bd1c98ddf5b59a765ba662d72e933baab0a3310c4cdbc50791a9fe9881c775
  • a5cbead4c9868f83dd9b4dc49ca6baedffc841772e081a4334efc005d3a87314
  • c75f99732d4e4a3ec8c19674e99d14722d8909c82830cd5ad399ce6695856666

 

SEC-1275-1
Добавить комментарий