Новый вредоносный кликер обнаружен в приложениях, установленных более чем 20 миллионами пользователей

security IOC

Недавно команда McAfee Mobile Research Team обнаружила новую вредоносную программу Clicker, которая пробралась в Google Play. В общей сложности было подтверждено наличие вредоносного кода в 16 приложениях, ранее находившихся в Google Play, с предположительно 20 миллионами установок.


Вредоносный код был обнаружен на таких полезных приложениях, как Фонарик (Torch), QR-ридеры, Camara, конвертеры единиц измерения и менеджеры задач. После открытия приложения оно загружает свою удаленную конфигурацию, выполняя HTTP-запрос. После загрузки конфигурации он регистрирует слушателя FCM (Firebase Cloud Messaging) для получения push-сообщений.

Сегментами вредоносного кода являются библиотека "com.click.cas", которая фокусируется на функциональности автоматического клика, и библиотека "com.liveposting", работающая как агент и запускающая скрытые рекламные сервисы. Вредоносные действия, такие как получение информации об URL-адресах ползунков через FCM-сообщения, запускаются в фоновом режиме через определенный промежуток времени и не видны пользователю.

Indicators of Compromise

Domains

  • liveposting.net
  • modooalba.net
  • msideup.co.kr
  • pangclick.com
  • post-blog.com
  • sideup.co.kr

SHA256

  • 00c0164d787db2ad6ff4eeebbc0752fcd773e7bf016ea74886da3eeceaefcf76
  • 1caf0f6ca01dd36ba44c9e53879238cb46ebb525cb91f7e6c34275c4490b86d7
  • 262ad45c077902d603d88d3f6a44fced9905df501e529adc8f57a1358b454040
  • 309db11c2977988a1961f8a8dbfc892cf668d7a4c2b52d45d77862adbb1fd3eb
  • 4dd39479dd98124fd126d5abac9d0a751bd942b541b4df40cb70088c3f3d49f8
  • 65794d45aa5c486029593a2d12580746582b47f0725f2f002f0f9c4fd1faf92c
  • 78351c605cfd02e1e5066834755d5a57505ce69ca7d5a1995db5f7d5e47c9da1
  • 809752e24aa08f74fce52368c05b082fe2198a291b4c765669b2266105a33c94
  • 82723816760f762b18179f3c500c70f210bbad712b0a6dfbfba8d0d77753db8d
  • a2447364d1338b73a6272ba8028e2524a8f54897ad5495521e4fab9c0fd4df6d
  • a3f484c7aad0c49e50f52d24d3456298e01cd51595c693e0545a7c6c42e460a6
  • a84d51b9d7ae675c38e260b293498db071b1dfb08400b4f65ae51bcda94b253e
  • a8a744c6aa9443bd5e00f81a504efad3b76841bbb33c40933c2d72423d5da19c
  • b252f742b8b7ba2fa7a7aa78206271747bcf046817a553e82bd999dc580beabb
  • b675404c7e835febe7c6c703b238fb23d67e9bd0df1af0d6d2ff5ddf35923fb3
  • bf1d8ce2deda2e598ee808ded71c3b804704ab6262ab8e2f2e20e6c89c1b3143
SEC-1275-1
Добавить комментарий