Главная страница » IOC
0
2 года
IOC

MMRat Malware IOCs

remote access Trojan

Команда Trend Micro Mobile Application Reputation Service (MARS) обнаружила новый, полностью необнаруженный банковский троян для Android, получивший название MMRat (детектируется TrendMicro как AndroidOS_MMRat.HRX), который с конца июня 2023 года атакует пользователей мобильных устройств в Юго-Восточной Азии.

MMRat

Вредоносная программа, получившая свое название от характерного имени пакета com.mm.user, способна перехватывать пользовательский ввод и содержимое экрана, а также удаленно управлять устройствами жертв с помощью различных технологий, что позволяет ее операторам осуществлять банковские махинации на устройствах жертв.

Кроме того, MMRat использует специальный специализированный командно-контрольный (C&C) протокол, основанный на протокольных буферах (также известных как Protobuf) - формате данных с открытым исходным кодом, используемом для сериализации структурированных данных. Эта особенность, редко встречающаяся в банковских троянах для Android, повышает их производительность при передаче больших объемов данных.

Проведенный Trend Micro анализ показал, что большинство образцов MMRat загружаются с ряда однотипных фишинговых сайтов, замаскированных под официальные магазины приложений. Эти сайты отличаются в первую очередь языком, что указывает на целевую аудиторию операторов MMRat. Однако точный способ, с помощью которого эти фишинговые ссылки попадают на устройства жертв, остается неясным.

На момент написания статьи на VirusTotal эта вредоносная программа осталась полностью необнаруженной, что свидетельствует об успешности техник, которые позволили ей остаться незамеченной. Аналогичные вредоносные программы, такие как GigabudRat и Vultur, использующие схожие приемы, такие как перехват клавиатуры и экрана, достигают заметных результатов на этапе атаки.

Как MMRat используется в банковском мошенничестве

Последовательность атаки MMRat:

  1. Жертва скачивает и устанавливает MMRat.
  2. Жертва предоставляет MMRat необходимые разрешения.
  3. MMRat начинает взаимодействовать с удаленным сервером и отправляет большой объем данных, включающих состояние устройства, персональные данные и данные кейлоггинга.
  4. Когда целевое устройство не используется, угроза может удаленно разбудить его, разблокировать экран и совершить банковское мошенничество. Одновременно с этим угроза может инициировать захват экрана для визуализации экрана устройства на стороне сервера.
  5. На последнем этапе MMRat деинсталлируется, удаляя все следы вредоносной программы из системы.

Indicators of Compromise

IPv4

  • 103.147.225.170
  • 104.234.10.8
  • 167.88.166.221
  • 172.86.96.152
  • 172.86.97.173
  • 172.86.97.85
  • 202.79.169.188
  • 202.95.15.135
  • 217.148.142.58
  • 27.124.19.133
  • 27.124.20.29
  • 27.124.41.223
  • 27.124.44.230
  • 27.124.47.53
  • 45.61.128.113
  • 62.72.27.139
  • 62.72.27.90

SHA256

  • 01e4a71e8cc73fa9e4d30d4a7904b758d13c38b4bbb5fc9bb9ee29c151e54b98
  • 02b466a68d1e20771bdca8a78ae119666df8d5e942e156beb6c47a30a21c99e1
  • 049a910bc8b20ffef01d28d6a83578fc1fd0fca1a87c550c60e8fab0a28a06c9
  • 09957a21632c3f8aa49b5b1b148ffadcd7be1cabc4d242962e1ebac5123454a7
  • 124d3a55770da5f7eb24291010e89c991828147758550b1c9ec68ccab5335b0b
  • 170bba04251f6195cf9b8a9e9d022ec0de67b804414b2ac0744df113bb330400
  • 18d04b773f1b001a2e3b7d716f0a742d33197c0ea7af4e171ab25f86b4297141
  • 1d3f8e10302ec03ee9e87285f777251aed4a1bc0b918e802875ba216287863c3
  • 28ab00912579a07520575cf8244c68e3ae0ecbb26ed9846fc3d11e5485a7f1f7
  • 32672ae034db3d1722ecd85101b41e3e885f768119afcdf66aa24b216cbecdee
  • 393bf67911e494e78a5b12251081a43f459f13df88475a878bc2998f1fc8676a
  • 4164c4a08341f7652ee9180501bd414477d5eef35f6920058014d9327e638255
  • 42989f69fe6614b6252e73bf89551ac8a267d8038139c63e3b2f18756a30ea04
  • 49c470e372400f05a4a8a18c688a4c2a6d8edceeb4444bc9bb80c5f49de074e5
  • 4ceaf45c60518645ce76c098f103dd03f65fbc84d4f0c83b1d4a3fd125c19cfe
  • 5051545fa6285b17709bd52b0c5a377d5c0dd11d497288fe61832e7dd8412470
  • 51847406cf995ff0d6dabcfd15ba1303051ced3dbf68106a5758bbabc21942db
  • 56aa36234a5ccd00a9016ead38efbc794173e8ed1458142217daa5c963a1b4bb
  • 59318070952bfc876fd80683c71d5ec73b5595e5d316797b40ca32770ab97a5b
  • 6241ec15f8eabf2d5a899126ff6e5189d965d65ab682bc0391fa5fb2f4dc83a2
  • 6409ce438e62caa320d1d8b897aeb875f512475415db07ed58f6f4133e5e9fe4
  • 68abbf83f53fdcbd04e0d39dc2152b0c31ef663c0b042cc1e918836cf2b69f5e
  • 7a28ce8aeba745a1a61ff40058a93dfe871df1c20f55d43c451747f44c390c59
  • 7adfed014e7040bf04ff0900c9280fdda9e283da31a4f7517ec5012e6dcb974b
  • 7d26ed9fea95ff44512fea26d930eed35af2637d89e61baf157ea1e4bd18f7e8
  • 8a16b7e17dd71e196786d0a0eba51668ea65f9e49bbdd7f63bd63f5453003c53
  • 8d3658a73e88ca3c9950e224dfa2c1469e83d4f74ef27e15372edf3ea0de5341
  • 90e48c755a7e6be812a6641f5812cf6ff3c0fbd1792bda40cc9686dbbc2d7866
  • 93e1d506fedd28fa3518b1c2ca7fb08046cc548b43752779a0c7e47866958dbf
  • 9bd79e293231c56625402543a0cf7bec65bef11487a23fa061c19a6f15b674b3
  • 9c8b20c48ca24786f930167976abf8c003697d0409f98c5072a83a613057e345
  • a4844148bf3cb8251547bf62470a500d731e7c4b1e99745ce9c82a09a65c666d
  • ab6b9922f6030d100305d2a23b6fd9cc9176e7e63558465c3694376a7eb5feb4
  • ac2f69c3b9400ee2eec035b54ce902be77a5b39dc2446a7f61bd087cde954982
  • b38566e10a47ac1586d6eee232569b746c6293746eee27968e62f70999ff2e36
  • b56eaeb0a37fc4a8569e0bfea7076b526708e88a7ac78a3ff7b4d9eba6d5f3ab
  • b7b09ac6d975ba6119d8b4ffd3312b299be7cf1f52553547de2b7bab2d2d5fcd
  • b8f7775cae1626730f9ab2c1c84f080c8b8c7b7a123fae50b37456ebbd9c5e75
  • c9de0d4587022d426be5cb0c8943b105507550e07e1f6bc7cb2fbd6d1fad2bfd
  • cdf9d50ad050ddabd7e4cb0855a35c82072e700439e12a5dc95ffb22860a0a1a
  • cffbdbd3a99b1180aef85c715ca291fde246e885d929fbf7da0f8718e6c18e07
  • d06fc998c4aa6a7abd294aa3e5edb566ef2097f897c23c5fe0b34a2c2ea3bd46
  • d151d66b47fad2fd3cf9f849c112bff55378c352b72596412a17b5f092ff8d64
  • d2af5473f53b71bcd9efc60bff567ab36160c548ed2a646442c63ecbb936c751
  • d69c3ee9b2ece1de766877ac3f7c53fc7946de44666ca73fc98fb7f9cfc8fe7c
  • e3da659a82ad4c152844b26a30f68ca4ab449db43fc95e806d941101bbb04f1f
  • ed872e13711191e419735583cb97d20df3a5d32844bed902c373d0900d94f646
  • f00b9c6d9b68bdb6c28a85bdf91780b0da14cab3e6aa350e45650ffc7c886b0b
  • f1a83ba21270e4a3280fd86b5f9003c4a863096deb808d99ca25441b614b76a9
  • f704fe8c336d33091a7deb0b7e241a542c2bf4a0da17e5fa350e3d21638c8fbf
  • fc269ee98565abd4235ba9d3bf02176ae2542dbee84b61fa1395e3a4a64d52c8
  • fc47a9653b70fda8ef16c3d92cf189660ecd467e9bd97657a0d456d6b09d1d1d
  • fe0416bace879b6c34ebbf71009bc253ff0c76c35b9a20a8b75e191ca3df5dce
Комментарии: 0
Похожие записи
0
2 дня
IOC

Кампания CrazyHunter нацелена на критически важные секторы экономики Тайваня

security
Группа вымогателей CrazyHunter стала серьезной угрозой для организаций в Тайване, особенно в сферах здравоохранения, образования и промышленности. Они используют сложные техники, такие как метод "принеси