Manuel Statik Analiz — ERMAC Android Banking Trojan | Tehdit: KRITIK

Dosya Kimliği

SHA25614b005352c07490b2922654b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Boyut2.922.654 byte (2.9MB APK)
String Sayisi14.563

DGA Benzeri C2 Domain

C2: kunibagivope.li — Liechtenstein .li TLD'de Domain Generation Algorithm (DGA) izlenimi veren anlamsız kelime kombinasyonu!
kunibagivope.li  -- DGA-like domain (.li = Liechtenstein TLD)
-- "kuniba" + "givope" = random syllable kombinasyonu
-- .li TLD: az tanınan, analist dikkatini azaltır
-- Liechtenstein'da kayıt: GDPR yaptırımından muaf alan

Hedef Uygulamalar

Chrome                    -- Google Chrome tarayıcı session
com.tencent.mm            -- WeChat (1.3 Milyar kullanıcı!)
AccessibilityService      -- Erişilebilirlik servisi overlay saldırısı
android.accessibilityservice.AccessibilityService

ERMAC Hakkında

ERMAC, Cerberus Android banking trojan'ının 2021 mirasçısıdır. Rus siber suç forumlarında $3000/ay kiralanmaktadır. 467 banka ve kripto uygulamasını hedeflemektedir. Erişilebilirlik Servisi üzerinden sahte ekran bindirme (overlay) saldırısıyla kullanıcı adı/şifre çalar.

IOC

SHA25614b005352c07490b2922654b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2kunibagivope.li (.li Liechtenstein)
HedefWeChat, Chrome, 467 banka uygulaması

IOC Listesi (2 gösterge)

IOC — ERMACAndroid
# SHA256 14b005352c07490b2922654b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 # DOMAIN kunibagivope.li
TürDeğerNot
sha256 14b005352c07490b2922654b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
domain kunibagivope.li

C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
kunibagivope.li domain 443 HTTPS inactive —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
ermacandroidkunibagivope-lidga-domainaccessibility-overlaywechat-targetchrome-targetbanking-trojan