В 2022 году компания Check Point Research (CPR) заметила новую волну давней кампании, направленной против уйгурского сообщества. Впервые об этой вредоносной деятельности, которую Check Point приписывает агенту угроз Scarlet Mimic, стало известно в 2016 году.
С тех пор CPR заметила, что эта группа использует более 20 различных вариаций своего вредоносного ПО для Android. Вредоносная программа относительно несложна с технической точки зрения. Однако ее возможности позволяют злоумышленникам легко похищать конфиденциальные данные с зараженного устройства, а также совершать звонки или отправлять SMS от имени жертвы и отслеживать ее местоположение в режиме реального времени. Кроме того, он позволяет вести аудиозапись входящих и исходящих звонков, а также объемную запись. Все это делает его мощным и опасным инструментом слежки.
Компания CPR выявила более 20 образцов шпионского ПО для Android под названием MobileOrder, причем последний вариант датирован серединой августа 2022 года. Нет никаких признаков того, что какой-либо из них распространялся из Google Store, скорее всего, в большинстве случаев вредоносные приложения маскируются под PDF-документы, фотографии или аудио, распространяемые с помощью фишинга или других кампаний социальной инженерии.
Indicators of Compromise
IPv4
- 209.97.173.124
- 45.32.112.182
IPv4 Port Combinations
- 209.97.173.124:2675
Domains
- adfgasfasfasf123.com
- blackbeekey.com
- fly100.dellgod.net
- islam.ansardawlatalislam.com
- k7k7.co
- mobile.muslimbro.org
- ziba.lenovositegroup.com
URLs
- https://blog.sina.cn/dpool/blog/s78u
- https://blog.sina.com.cn/u/5241106671
- https://blog.sina.com.cn/u/5926910809
- https://blog.sina.com.cn/u/5955775229
MD5
- 06c8c089157ff059e78bca5aeb430810
- 7bf2ca0e7242cabcee8d3bb37ac52fc7
- a38e8d70855412b7ece6de603b35ad63
- a4f09ccb185d73df1dec4a0b16bf6e2c
- a886cbf8f8840b21eb2f662b64deb730
- b5fb0fb9488e1b8aa032d7788282005f
- f10c5efe7eea3c5b7ebb7f3bf7624073
SHA256
- 03004ccc23033a09532bea7dfa08c8dfa85814a15f5e3aedb924a028bcd6f908
- 0703185a3e206b8da96a86f4bbcb750b48bbec8b2fc2598eed8603e4027cf4ae
- 126e41c231c1b5a25584e27d47132d0d243da155e6a70517d08dbf611201fdca
- 13e457ce16c0fe24ad0f4fe41a6ad251ebffb2fdaaebe7df094d7852ba0cfdc6
- 155d0707858cbb18ed5ecb4d98009288e4c5a1e68275d9db5b2390f204636431
- 2e94183fcbc3381071d023a030640aaef64739006b6c22603b94b970cebeeec2
- 35adf82e2ace8fe0ddfd50b21dad274df40696f5dfcdf7372fe63eed8bbed869
- 549ea085fbb23729ee000721938d95ea38ff2e70a63af1d4aa8db6b7b3458f6f
- 633739c3b51715516fb226b3b9c693530d8ef715ac19093cdf6aaf108149b91f
- 73729646a7768a5bd4c301842c19b3b16bb190e435af466a731ad36544982098
- 84ce04fd8d1c15046e7d50cd429876f0f5fbca526d7a0a081b6b9a49fe66131f
- 89f350332be1172fc2d64ac8ecd7fd15a09a2bd6e0ab6a7898a48fb3e5c9eac3
- 91c34071622b678b2f64a8b896c7898cceff658764eb0ae5e100b3d4d868a664
- 990e50ce20706be80b4d62367ff6ed615d6dd04551b42cfd80b1a8950065b646
- afcbf339d1c0a6174f93425cd1b8ba50979132856f0c333865a62d7c6e8a3084
- ba08ee68d9218e0aaa3384bcb2ab281fd8273fe40aee65c300adbf85120cbc7b
- be0ae4394b8592cd1325b86669fa78f9ccd320d23f839e81001138be914a760f
- c2cd40f1c21719d4611ff645c7f960d0070c19e8ad12cc55aded7b5a341c89a3
- e3ee0ccfb01e2effd49feddb252781baa2a05f8360d5cf949d09e3add1e73e4d
- e959dc221a8667cde8b9ff080d078e60ed1e8bf5a3c6f1f352919c9b8f696830
- ed3aa8e58d65c81df2f18e970456225b7c2b78e4add4dea556298a915b8fef1a
- f876b2a60d4cf7f88925f435f29f89c0393f57a59ec46d490c7e87821f29fc0f
- fd99acc504649e8e42687481abbceb71c730f0ab032357d4dc1e95a6ef8bb7ca