Главная страница » IOC
0
6 месяцев
IOC

Незамеченное шпионское ПО для Android, нацеленное на людей в Южной Корее

Spyware

Компания Cyble Research and Intelligence Labs (CRIL) обнаружила новую кампанию шпионского ПО для Android, которое с июня 2024 года атакует жителей Южной Кореи.

Шпионское ПО использует ведра Amazon AWS S3 в качестве командно-контрольных (C&C) серверов для утечки конфиденциальных данных, включая SMS-сообщения, контакты, изображения и видео. Похищенные данные хранятся на этих серверах в открытом виде, что свидетельствует о слабой операционной безопасности злоумышленников, которая может привести к непреднамеренным утечкам.

Шпионское ПО маскируется под легитимные приложения, такие как приложения для просмотра видео в реальном времени или возврата денег, и избегает обнаружения всеми основными антивирусными решениями. Было обнаружено четыре уникальных образца, ни один из которых не был отмечен ни одной системой безопасности. Простой исходный код вредоносной программы использует минимальные разрешения - например, доступ к SMS и контактам - и при этом демонстрирует высокую эффективность при краже данных.

Несмотря на скрытность действий злоумышленников, о неправомерном использовании ведра AWS S3 было сообщено компании Amazon, и доступ к обнародованным данным был отключен. Эта кампания подчеркивает растущую изощренность вредоносных программ для Android, которые используют надежные облачные сервисы, чтобы обойти меры безопасности и оставаться незамеченными в течение длительного времени.

Indicators of Compromise

URLs

  • https://bobocam365.icu/downloads/pnx01.apk
  • https://phone-books.s3.ap-northeast-2.amazonaws.com/
  • https://refundkorea.cyou/REFUND%20KOREA.apk

MD5

  • 16139baf56200f3975e607f89e39419a
  • 1d7bbb5340a617cd008314b197844047
  • 68e6401293e525bf583bade1c1a36855
  • fa073ca9ae9173bb5f0384471486cce2

SHA1

  • 1fc56a6d34f1a59a4987c3f8ff266f867e80d35c
  • 46eb3ba5206baf89752fe247eff9ce64858f4135
  • 63952a785e2c273a4dc939adc46930f9599b9438
  • d07a165b1b7c177c2f57b292ae1b2429b6187e45

SHA256

  • 3608f739c66c9ca18628fecded6c3843630118baaab80e11a2bacee428ef01b3
  • a8e398fc4b483a1779706d227203647db3e04d305057fdc7f3f6a4318677b9c8
  • afc2baf71bc16bdcef943172eb172793759d483470cce99e542d750d2ffee851
  • d9106d06d55b075757b2ca6a280141cbdaff698094a7bec787e210b00ad04cde
Комментарии: 0
Похожие записи
0
28 дней
IOC

BTMOB RAT IOCs

remote access Trojan
BTMOB RAT – продвинутая вредоносная программа для Android, которая активно распространяется через фишинговые сайты и использует службу доступности для кражи учетных данных, удаленного управления устройствами и выполнения вредоносных действий.
0
1 месяц
IOC

Растущее влияние DeepSeek вызывает всплеск мошенничества и фишинговых атак

security
Недавно компания Cyble Research and Intelligence Labs (CRIL) обнаружила несколько подозрительных сайтов, выдававших себя за DeepSeek. Были обнаружены сайты, связанные с криптофишинговыми схемами и мошенничеством с фальшивыми инвестициями.
0
2 месяца
IOC

Hexalocker Ransomware IOCs

ransomware
Лаборатория Cyble Research and Intelligence Labs (CRIL) обнаружила новую версию вымогательской программы HexaLocker, которая включает ряд значительных обновлений и расширенные функциональные возможности.