Manuel Statik Analiz — ERMAC Android Banking Trojan | Tehdit: KRITIK
Fichier Kimliği
| SHA256 | 14b005352c07490b2922654b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Taille | 2.922.654 byte (2.9MB APK) |
| String Sayisi | 14.563 |
DGA Benzeri C2 Domain
C2: kunibagivope.li — Liechtenstein .li TLD'de Domain Generation Algorithm (DGA) izlenimi veren anlamsız kelime kombinasyonu!
kunibagivope.li -- DGA-like domain (.li = Liechtenstein TLD) -- "kuniba" + "givope" = random syllable kombinasyonu -- .li TLD: az tanınan, analist dikkatini azaltır -- Liechtenstein'da kayıt: GDPR yaptırımından muaf alan
Hedef Uygulamalar
Chrome -- Google Chrome tarayıcı session com.tencent.mm -- WeChat (1.3 Milyar kullanıcı!) AccessibilityService -- Erişilebilirlik servisi overlay saldırısı android.accessibilityservice.AccessibilityService
ERMAC Hakkında
ERMAC, Cerberus Android banking trojan'ının 2021 mirasçısıdır. Rus siber suç forumlarında $3000/ay kiralanmaktadır. 467 banka ve kripto uygulamasını hedeflemektedir. Erişilebilirlik Servisi üzerinden sahte ekran bindirme (overlay) saldırısıyla kullanıcı adı/şifre çalar.
IOC
| SHA256 | 14b005352c07490b2922654b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | kunibagivope.li (.li Liechtenstein) |
| Hedef | WeChat, Chrome, 467 banka uygulaması |
Liste IOC (2 indicateurs)
IOC — ERMACAndroid
# SHA256
14b005352c07490b2922654b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
# DOMAIN
kunibagivope.li
| Type | Valeur | Note |
|---|---|---|
| sha256 | 14b005352c07490b2922654b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |
| domain | kunibagivope.li |
Serveurs C2 (1 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| kunibagivope.li | domain | 443 | HTTPS | inactive | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.