BTMOB RAT IOCs

BTMOB RAT – продвинутая вредоносная программа для Android, которая активно распространяется через фишинговые сайты и использует службу доступности для кражи учетных данных, удаленного управления устройствами и выполнения вредоносных действий. BTMOB RAT разработан на основе SpySolr и является разновидностью Crax RAT, который был создан злоумышленником EVLF.

BTMOB RAT

Вредоносная программа BTMOB RAT распространяется через фишинговые сайты, которые выдают себя за потоковые сервисы, такие как iNat TV, и поддельные платформы для майнинга. Чтобы получить доступ к устройству, она просит пользователя включить службу доступности, а затем автоматически предоставляет необходимые разрешения. Она устанавливает WebSocket-соединение с командно-контрольным сервером C&C и использует его для выполнения команд в реальном времени и кражи данных.

BTMOB RAT имеет различные функциональные возможности, включая обмен экранами в режиме реального времени, управление файлами, аудиозапись и веб-инъекции. Злоумышленник активно продвигает эту вредоносную программу в Telegram, предлагая платные лицензии и обновления.

Анализ лабораторией Cyble Research and Intelligence Labs (CRIL) показал, что BTMOB RAT является продвинутой версией SpySolr, использующей схожую структуру командно-контрольного сервера и кодовую базу. За последний месяц было обнаружено около 15 образцов BTMOB RAT.

Вредоносная программа BTMOB RAT является серьезной угрозой для пользователей Android, так как она использует фишинговые сайты и службу доступности для распространения и выполнения вредоносных действий. Пользователям следует быть осторожными при установке приложений из неизвестных источников и внимательно следить за запросами на предоставление доступа к службе доступности на своих устройствах. Для защиты от BTMOB RAT рекомендуется использовать антивирусное программное обеспечение и регулярно обновлять операционную систему Android.

Indicators of Compromise

URLs

• http://78.135.93.123/yaarsa/private/yarsap_80541.php
• http://78.135.93.123:8080
• http://server.yaarsa.com/con
• https://tvipguncelpro.com/

MD5

• cb801ef4d92394f984f726c9fc4f8315
• e54490097af9746e375b87477b1ffd2d

SHA1

• 23e6d0fd3bbc71c0188acab43d454c39fa56d206
• d7b115003784ac2a595083795abffe68d834cdf0

SHA256

• 04241bc4ce9cece5644cd7f8f86ede7def5cb6122b2f3b5760c2c3556da34a7d
• 061fdbf0c61a29d31406887a40b4f6a551600f7366a711ecce6063f61965308d
• 071d3ad980ea77a9041c580015b2796d3d5d471c2fc1039c8f381501efb3cda0
• 13341c5171c34d846f6d0859e8c45d8a898eb332da41ab62bcae7519368d2248
• 186cd8d9998d6c4e2d12a1370056ba910a6f8a2176c8b0c9362a868830fcfb07
• 2b307f11ae418931674156425c47ff1c0645fb0b160290cd358599708ff62668
• 2b725322f9a019b0106a084694c18fbb8604cf64c65182153c4d67ff3adf4e48
• 6ce41ee43a5d5f773203cfcf810c0208246f0b27505d49b270288751a747f5a3
• 8548600b4e461580fe32fea6c1e233a5862483ca9a617d79fdea001ebf5556cc
• 8dbfcf6b67ee6c5821564bf4228099beaf5f40e4a87118cbb1e52d8f01312f40
• 8df615fa33dcd7aa81adc640ac42a6a9a4a2bebbb5308f1d8a35afa169e99229
• 9141e25b93d315843399a757cddb63af55bdbdd4094fba4a6b2bbea89bf9ecf9
• 937e77d2a910a1452f951d2de6f614a6219e707c40b6789ccf31cac0d82868cc
• a4c15afd6cb79b66fce3532907e65ccd13c8140a3cb26cc334138775f7a6aebd
• b053a3d68abb27e91c2caf5412de7868fe50c7506e1f9314fee4c26285db7f59
• b724ca474c2bca77573e071524bd5500f0355c8b6b8bb432dcc2d8664ed2d073
• bb20f2bfb78fd5a2ff4693939d061368949cd717b8033b6facba82df26b31a1a