Mamont Trojan IOCs

remote access Trojan IOC

В октябре 2024 года Министерство внутренних дел России раскрыло новую аферу, связанную с распространением банковского троянца для Android под названием Mamont.

Mamont Banking Trojan

Злоумышленники использовали различные схемы, чтобы обманом заставить жертву загрузить вредоносную программу. Одна из схем заключалась в отправке жертве сообщения в мессенджере с просьбой опознать человека на фотографии. Затем злоумышленники отправляли предполагаемую фотографию, которая на самом деле являлась установочным файлом вредоносной программы. Другая схема предполагала распространение Mamont в домашних чатах, где злоумышленники предлагали бесплатное приложение для отслеживания посылок с бытовой техникой, которое оказывалось вредоносным.

Совсем недавно внимание исследователей привлекли сайты, предлагающие оптовые товары по сниженным ценам. Исследователи решили провести расследование и сделали заказ на одном из таких сайтов. Они обнаружили, что на сайте есть ссылка на закрытый чат Telegram, где можно было оформить заказ, связавшись с менеджером напрямую. Исследователи связались с менеджером, оформили заказ и получили информацию о том, что для отслеживания заказа доступно мобильное приложение. Однако приложение оказалось фишинговым сайтом, который привел к загрузке банковского вредоносного ПО Mamont.

Исследователи отметили, что афера выглядела правдоподобно, поскольку в закрытом канале было много участников и не требовалась предоплата. Некоторые участники могли быть ботами, созданными для отвлечения жертв. Исследователи сообщили о мошеннических аккаунтах и каналах в Telegram, но на момент написания статьи никаких мер принято не было.

При запуске троян Mamont запрашивает разрешения на работу в фоновом режиме, обработку push-уведомлений и SMS, а также на совершение звонков. Затем он предлагает жертве ввести трек-номер, полученный от злоумышленников. Этот трек-номер используется для идентификации жертвы. Если код ответа равен 200, троянец запускает окно с предложением загрузить информацию о заказе.

Кроме того, запускаются два вредоносных сервиса. Один из них перехватывает push-уведомления и пересылает их на сервер злоумышленника, а другой устанавливает соединение с WebSocket-сервером злоумышленника и получает команды в формате JSON. Эти команды могут включать в себя совершение звонков, смену иконки приложения, отправку SMS и многое другое.

В целом банковский троянец Mamont распространяется по различным обманным схемам, ориентируясь на частных пользователей и компании. Пользователям важно быть осторожными при получении незапрошенных сообщений или загрузке приложений из неизвестных источников, чтобы не стать жертвой подобных мошенников.

Indicators of Compromise

Domains

  • apisys003.com

MD5

  • 12936056e8895e6a662731c798b27333

SHA1

  • a3568ec10b2448f72cfb945236eb3024cfb06620

SHA256

  • 51cf27b18a3be550e15e7b56e5f1c818d184917c760ccf8d614800090f36d075
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий