Лаборатория Cyble Research & Intelligence Labs (CRIL) недавно выявила массовую фишинговую кампанию, в ходе которой распространялись вредоносные исполняемые файлы для Android.
ERMAC - это банковский троянец для Android, который впервые был обнаружен в конце августа 2021 года, когда он был направлен на Польшу. Последняя версия ERMAC 2.0 нацелена на 467 приложений, и Threat Actor сдавал ее в аренду за $5K/месяц на киберпреступном форуме.
Поскольку более 70% мобильных пользователей используют устройства Android, атаки на устройства Android пропорционально увеличиваются с ростом важности и широким распространением ОС Android. Это основная причина, по которой TA используют различные сложные техники для доставки вредоносной полезной нагрузки на Android.
В данном случае TA используют фишинговые техники, имитируя несколько популярных и легитимных веб-сайтов для доставки полезной нагрузки ERMAC Android.
Indicators of Compromise
IPv4
- 103.109.101.137
URLs
- http://193.106.191.121/
- http://193.106.191.121:3434/yy.php/
- http://apk-combos.com/
- http://app-vidmate.com/
- http://payse-google.com/
- http://www.app-vidmates.link/
- https://app-vidmates.com/
- https://m-apkpures.com/
- https://paltpal-apk.com/
- https://payce-google.com/
- https://snacpchat-apk.com/
- https://vidmates-app.com/
MD5
- 8692e3212dc590c254020450bdee7003
SHA1
- 1b9600d9ba73aeb09bd8d75bd1ae73d75eac6232
SHA256
- 8e9a45e5ac00332d83afa5efb5c5ed92e38280c7da7b7a5f6ae5577e2271cb26