Triada Trojan IOCs

remote access Trojan IOC

Обнаружив новый вредоносный мод для WhatsApp, Kaspersky Lab решили выяснить, откуда он берется. Согласно статистике, источником была реклама в популярном приложении Snaptube. После небольшой проверки мы подтвердили, что в официальном приложении Snaptube можно найти рекламу YoWhatsApp (MD5: C3B2982854814E537CD25D27E295CEFE), при нажатии на которую пользователю будет предложено установить вредоносную сборку.

Это не первый случай, когда Kaspersky Lab сталкивались с подобным методом распространения. Ранее, например, похожая ситуация произошла с приложением CamScanner, версия которого, размещенная в Google Play Market, содержала рекламную библиотеку с вредоносным компонентом.

Позже Kaspersky Lab обнаружили вредоносную версию сборки YoWhatsApp в популярном мобильном приложении Vidmate (MD5 CBA56F43C1EF32C43F7FC5E2AC368CDC), предназначенном для сохранения и просмотра видео с YouTube. В отличие от Snaptube, вредоносная сборка была загружена во внутренний магазин, который является частью Vidmate. Название модификации - WhatsApp Plus, но ее функции, как легитимные, так и вредоносные, похожи на те, что есть в Snaptube. Версия сборки YoWhatsApp также совпадает.

Киберпреступники все чаще используют возможности легитимного программного обеспечения для распространения вредоносных приложений. Это означает, что пользователи, выбирающие популярные приложения и официальные источники установки, все равно могут стать их жертвами. В частности, вредоносное ПО типа Triada может украсть учетную запись IM и, например, использовать ее для рассылки нежелательных сообщений, в том числе вредоносного спама. Деньги пользователя также подвергаются риску, поскольку вредоносная программа может легко установить для жертвы платные подписки.

Indicators of Compromise

URLs

  • http://av2wg.rt14v.com:13002
  • https://g1790.rt14v.com:13001
  • https://wa.zcnewy.com

MD5

  • 47674b2ada8586acaf34065ff4cf788a
  • 72645469b04af2d89bc24adda2705b68
  • 8ee2df87e75cc8ab1b77c54288d7a2d9
  • ac6c42d2f312fe8e5fb48fe91c83656b
  • caa640824b0e216fab86402b14447953
  • deaafdd4b289443261e18b244eafb577
  • f67a1866c962f870571587b833add47b
SEC-1275-1
Добавить комментарий