Вредоносная программа Salvador Stealer, обнаруженная и проанализированная командой any.run, скрывается под видом банковского приложения для Android и предназначена для кражи конфиденциальной информации пользователей.
Описание
Salvador Stealer состоит из двух компонентов: дроппера APK и полезной нагрузки базового APK. Дроппер устанавливает и запускает базовый APK для кражи банковских данных. Для бесшумной установки и выполнения, дроппер объявляет определенные разрешения и фильтры намерений в своем файле AndroidManifest.xml.
Базовый APK, который является вредоносной полезной нагрузкой, отвечает за кражу данных. Он устанавливает соединение с Telegram, используя его в качестве командно-контрольного сервера для получения украденных данных и управления заражением. Кроме того, базовый APK перехватывает входящие SMS и крадет одноразовые пароли для обхода двухфакторной аутентификации.
Salvador Stealer также внедряет фишинговый сайт в приложение для Android, чтобы обманом заставить пользователей вводить свои банковские данные. Украденные данные затем немедленно отправляются на фишинговый сервер и командно-контрольный сервер через Telegram Bot API.
Indicators of Compromise
Domains
- t01.muletipushpa.cloud
- t02.muletipushpa.cloud
- t03.muletipushpa.cloud
- t04.muletipushpa.cloud
- t05.muletipushpa.cloud
- t06.muletipushpa.cloud
- t08.muletipushpa.cloud
- t10.muletipushpa.cloud
- t11.muletipushpa.cloud
- t12.muletipushpa.cloud
- t13.muletipushpa.cloud
- t14.muletipushpa.cloud
- t15.muletipushpa.cloud
- ta01.muletipushpa.cloud
URLs
- https://api.telegram.org/bot7931012454:AAGdsBp3w5fSE9PxdrwNUopr3SU86mFQieE
SHA256
- 21504d3f2f3c8d8d231575ca25b4e7e0871ad36ca6bbb825bf7f12bfc3b00f5a
- 7950cc61688a5bddbce3cb8e7cd6bec47eee9e38da3210098f5a5c20b39fb6d8
