Недавно СМИ сообщили об аресте подозреваемых в распространении вредоносного приложения для Android, известного как Mamont. Это приложение использовалось в фишинговой кампании, в ходе которой пользователи получали сообщения в Telegram с видеовложением и сообщением «Это вы на видео?». Эта кампания продолжалась несколько месяцев, и эксперты по безопасности уже предупреждали о подобных вредоносных кампаниях в начале года.
Описание
Экспертам Solar 4RAYS удалось получить образец Mamont, и при исследовании было обнаружено, что часть сетевой инфраструктуры, связанной с вредоносной программой, все еще активна, что свидетельствует о сохранении угрозы заражения.
После загрузки и открытия вредоносного приложения Mamont вместо ожидаемого видео или фотографии открывается окно с содержимым, указанным злоумышленниками. Это может быть статичное изображение, легитимно выглядящая страница авторизации в Telegram или анимация бесконечной загрузки - все это призвано создать иллюзию технической проблемы. Одновременно с этим вредоносная программа отправляет информацию об устройстве жертвы, включая список установленных приложений и сохраненных текстовых сообщений, на управляющий сервер (C2) по незашифрованному WebSocket-соединению.
Информация, отправляемая на сервер C2, включает в себя уникальный идентификатор жертвы, модель устройства, тип соединения, активность экрана, данные SIM-карты, SMS-сообщения и установленные приложения. Это позволяет злоумышленникам собирать широкий спектр личной информации о жертве. Кроме того, приложение Mamont способно отправлять USSD-запросы, совершать телефонные звонки и отправлять SMS-сообщения, что может привести к финансовым потерям жертв. Перехват SMS-сообщений вредоносной программой дает атакующим возможность получить контроль над приложениями для обмена сообщениями и получить конфиденциальную информацию, такую как коды сброса паролей и подтверждения банковских операций.
Таким образом, арест подозреваемых в распространении приложения Mamont для Android подчеркивает постоянную угрозу фишинговых кампаний и потенциальную возможность вредоносного ПО собирать личную информацию и выполнять несанкционированные действия на зараженных устройствах
Indicators of Compromise
IPv4
- 176.65.134.48
- 176.65.142.147
- 176.65.142.164
- 176.65.142.185
- 176.65.142.229
- 195.62.48.207
IPv4 Port Combinations
- 176.65.134.48:3636
Domains
- 1.mamontvirus.net
- 2.mamontvirus.net
- cleo.mamontvirus.net
- legit.mamontvirus.net
- legitteam.net
- mamontvirus.net
- pidorasi.mamontvirus.net
MD5
- 4b23eaf5dada138f9017197d49fa611f
- a0e68c56ed4a7e121311eb1f28b53720
- bb73f922d03f0d6d9ddba26bf817bf01
- f0ad38022aea004dcf926ca73db811c5
SHA1
- 4de6762ad0f10d7f3e76d68b707d5328ceda4f98
- 5c82f6abd848f51f2316b4e0fd838689b8756c7f
- 6af0ad25795a0d32a270ff9b91bda6762cc63448
- fd8e23f30172c3ea6d58823d148baf15e6fb0dda
SHA256
- 0730616b2ac5823bb75e5434798e02dd861b399c923c6e917ae2915dde05c765
- 3b365389d4cbc265ba7b78116307452019d3fedbfb407e6af384570611c37ef6
- ca38ddd9f08afa82e08c74825710daac21a1087dca9cc28169a676382a36e6c0
- ee154ea2dd04390cecf9cf7c61ce1ba54d241ad77d7f16d2d3a8e4ac030241c4
