Sharkbot Dropper IOCs

security IOC

После того, как в феврале 2022 года Fox-It обнаружили в Google Play дроппер SharkBotDropper, выдававший себя за поддельный антивирус и чистильщик Android, теперь Fox-It обнаружили новую версию этого дроппера, активную в Google Play и сбрасывающую новую версию Sharkbot.


Этот новый дроппер не полагается на разрешения Accessibility для автоматической установки вредоносной программы Sharkbot. Вместо этого новая версия просит жертву установить вредоносную программу в качестве поддельного обновления для антивируса, чтобы оставаться защищенной от угроз.

Fox-It обнаружили два приложения SharkbotDopper, активных в Google Play Store, с 10К и 50К установок каждое.

Дропперы из Google Play загружают полнофункциональный Sharkbot V2, обнаруженный некоторое время назад компанией ThreatFabric. 16 августа 2022 года команда Threat Intelligence компании Fox-IT обнаружила новые командно-контрольные серверы (C2s), которые предоставляли список целей, включая банки за пределами Великобритании и Италии. Новыми целевыми странами в этих C2 были: Испания, Австралия, Польша, Германия, Соединенные Штаты Америки и Австрия.

22 августа 2022 года команда Threat Intelligence компании Fox-IT обнаружила новый образец Sharkbot версии 2.25, который общался с серверами командного управления, упомянутыми ранее.

Indicators of Compromise

IPv4

  • 185.212.47.113

Domains

  • 23080420d0d93913.live
  • 7f3e61be7bb7363d.live

URLs

  • http://browntrawler.store/
  • http://mefika.me/
  • https://play.google.com/store/apps/details?id=com.kylhavy.antivirus
  • https://play.google.com/store/apps/details?id=com.mbkristine8.cleanmaster

SHA256

  • 7f2248f5de8a74b3d1c48be0db574b1c6558d6edae347592b29dc5234337a5ff
  • 870747141b1a2afcd76b4c6482ce0c3c21480ae3700d9cb9dd318aed0f963c58
SEC-1275-1
Добавить комментарий