SharkBot Dropper IOCs - Part 2

security

За последние несколько месяцев Bitdefender заметили общую тему: вредоносные приложения распространяются непосредственно из Google Play Store. Если что-то приходит из официального магазина, люди могут быть склонны считать, что это безопасно. Исследования показали, что это не так.

SharkBot Dropper

Всего несколько месяцев назад Bitdefender обнаружил в официальном магазине множество вредоносных приложений, навязывающих агрессивную нежелательную рекламу, которая могла привести к более серьезным атакам.

Благодаря нашей поведенческой технологии, разработанной для обнаружения подозрительного поведения программного обеспечения в режиме реального времени, мы обнаружили приложения, загруженные из Google Play, которые вскоре после установки, в зависимости от местонахождения пользователя, становились дропперами для баннеров SharkBot.

Магазин Google Play, скорее всего, обнаружит трояна-банкера, загруженного в его хранилище, поэтому преступники прибегают к более скрытым методам. Одним из способов является приложение, иногда легитимное с некоторыми рекламируемыми функциями, которое служит дроппером для более коварных вредоносных программ.

Обнаруженные Bitdefender приложения замаскированы под файловые менеджеры, что объясняет, почему они запрашивают у пользователя разрешение на установку внешних пакетов (REQUEST_INSTALL_PACKAGES). Разумеется, это разрешение используется для загрузки вредоносного ПО. Поскольку приложениям Google Play требуется функциональность файлового менеджера только для установки другого приложения, а вредоносное поведение активируется для ограниченного круга пользователей, их сложно обнаружить.

Хотя ни одно из приложений, рассматриваемых в данном исследовании, до сих пор не доступно в Google Play Store, они все еще присутствуют в Интернете в различных магазинах сторонних разработчиков, что делает их актуальной угрозой.

Большинство пользователей, загрузивших эти приложения, в основном из Великобритании и Италии, небольшое меньшинство - из других стран.

Приложение устанавливает образец SharkBot с ярлыком _File Manager, и пользователя обманывают, заставляя думать, что необходимо установить обновление приложения.

Профиль разработчика в Google Play, похоже, виден только пользователям из Италии и Великобритании. Зайти на его страницу без указания кода страны невозможно.

Многие пользователи утверждают, что приложение содержит вредоносное ПО, а цель преступников становится очевидной, поскольку все отрицательные отзывы о приложении написаны на итальянском языке.

При более детальном рассмотрении приложения X-File Manager Bitdefender обнаружили, что образец имеет множество разрешений, ожидаемых от файлового менеджера, включая READ_EXTERNAL_STORAGE, WRITE_EXTERNAL_STORAGE, GET_ACCOUNTS, REQUEST_INSTALL_PACKAGES, QUERY_ALL_PACKAGES, REQUEST_DELETE_PACKAGES.

После анализа кода исследователи обнаружили, что приложение выполняет проверку антиэмулятора и нацелено на пользователей из Великобритании и Италии, проверяя, соответствует ли SIM ISO IT или GB. Оно также проверяет, установлено ли на устройствах пользователей хотя бы одно из целевых банковских приложений.

Вот список приложений, отслеживаемых вредоносной программой, в который входят и другие финансовые сервисы. Стоит отметить, что это не фиксированный список, так как злоумышленники всегда могут добавить поддержку новых приложений.

com.barclays.android.barclaysmobilebankingBarclays
com.bankofireland.mobilebankingBank of Ireland Mobile Banking
com.cooperativebank.bankThe Co-operative Bank
ftb.ibank.androidAIB (NI) Mobile
com.nearform.ptsbpermanent tsb
uk.co.mbna.cardservices.androidMBNA Mobile App
com.danskebank.mobilebank3.ukMobile Bank UK – Danske Bank
com.barclays.bcaBarclaycard
com.tescobank.mobileTesco Bank and Clubcard Pay+
com.virginmoney.uk.mobile.androidVirgin Money Mobile Banking
com.cooperativebank.smile"smile - the internet bank"
com.starlingbank.androidStarling Bank - Mobile Banking
uk.co.metrobankonline.mobile.android.productionMetro Bank
uk.co.santander.santanderUKSantander Mobile Banking
uk.co.hsbc.hsbcukmobilebankingHSBC UK Mobile Banking
uk.co.tsb.newmobilebankTSB Mobile Banking
com.grppl.android.shell.BOSBank of Scotland Mobile App
com.grppl.android.shell.halifaxHalifax Mobile Banking
com.grppl.android.shell.CMBlloydsTSB73Lloyds Bank Mobile Banking
it.copergmps.rt.pf.android.sp.bmpsBanca MPS
it.extrabanca.mobileNewExtraMobileBank
it.relaxbankingRelaxBanking Mobile
it.bnl.apps.bankingBNL
it.bnl.apps.enterprise.hellobankHello Bank!
it.ingdirect.appING Italia
it.popso.SCRIGNOappSCRIGNOapp
posteitaliane.posteapp.appbpolBancoPosta
com.latuabancaperandroidIntesa Sanpaolo Mobile
com.latuabancaperandroid.pgIntesa Sanpaolo Business
com.latuabancaperandroid.ispbIntesa Sanpaolo Private
com.fineco.itFineco
com.CredemMobileCredem
com.bmo.mobileBMO Mobile Banking
com.fideuram.alfabetobankingAlfabeto Banking
com.lynxspa.bancopopolareYouApp - Mobile Banking
com.vipera.chebancaCheBanca!

URL перенаправляет на IP-адрес: http://94[.]198[.]53[.]205/loader_08_2022_03e19619736ebb206d5dc24b6ca3a84f/

Приложение выполняет запрос по URI, скачивает пакет и записывает вредоносную полезную нагрузку на устройство. Дроппер имитирует обновление текущего приложения для завершения установки и просит пользователя установить сброшенный APK.

Indicators of Compromise

URLs

  • http://94.198.53.205/loader_08_2022_03e19619736ebb206d5dc24b6ca3a84f/

SHA256

  • 0fb6f45af7834c742db0c7b68a61d177c49bb4c59e19640c62723c6b38a777ad
  • 218c6e2327c8342192dc58c6e793fc3d5cba7f15e4b2f188c98cd4ba48bf244a
  • 25e2a148a586acc6b741a64f42c618796a08ec9745eb3d1170acabf9e732a366
  • 5481908f7cf651fde7b902f70c5c6f900a413de5976e1e0ba2b60c44f2a060c4
  • 5e858fa31abe3b048be815a96234daa1123a9aab113d6f80b95dbf9437fb7343
  • 5ee5894c2be17c542601c113225862129ed96da6e6bd0d80c5ef0d500ad21fe3
  • 618ee1e79a927c57831527faf19739276f2706b6200ee8f52aa0eb0c66de6828
  • 6f1eb9c21b026eecfd65459ec4cffe3954d24619010741e18722108d7bacf3d1
  • 72512e7de8099e66beb9b4395b8c4a5c1dfd413c85977a31480ff8bd68b2ca6e
  • 844efceeeeff73da35ac13c217ad5723c456ecec01fada7f92b9203fc29e7dcd
  • 900fe34d5394689c86ead76666e79620ad7a10109c75d661af9bc7d8fb0c27b8
  • 9a8345bcbc06fc4225d7b03d0a8a4c04c3e7b2fafbf9e00e7ca57dd95034ae34
  • b45edcbdfe9ad1a1990d723dca4405014a4fa1c578b75799219a4298b16175de
  • e2d2e7683e07c5ffa7b5475433057cec5c2993167f47ea650941f9871923792d
  • fa7947933a3561b7174f1d94472dcf8633a03749c14342ce65dafe94db361140

 

Комментарии: 0