Manuel Statik Analiz — Hydra Android Banking Trojan | Tehdit: KRITIK

파일 Kimliği

SHA256ceb48e4b9d82b2ab1125884b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
파일 이름Commerzbank_Sicherheitszertifikat.apk
크기1.125.884 byte (1.1MB APK)
String Sayisi5.459

Alman Bankacılık Tuzağı

Kamuflaj: "Commerzbank Sicherheitszertifikat" = "Commerzbank 신뢰도lik Sertifikası" — Almanya'nın ikinci büyük bankası!
Commerzbank_Sicherheitszertifikat.apk
-- "Sicherheitszertifikat" = Güvenlik Sertifikası (Almanca)
-- Alman bankacılar resmi güvenlik güncellemesi sanıyor!
action.DE, app.de, category.DE  -- .de (Almanya TLD) domain referansları
category.BR                      -- Brezilya da hedef!

Sahte Erişilebilirlik Servisi Tuzağı

"Attention! Without permission app may not work properly"
-- Erişilebilirlik iznini zorlayan sahte uyarı
-- İzin verilince tüm ekran/tuş loglama başlar

Hydra Hakkında

Hydra, 2019'dan beri aktif Android bankacılık trojanıdır. Almanya, Fransa, İspanya ve Brezilya'daki büyük bankaları (Commerzbank, Sparkasse, ING) taklit eder. Erişilebilirlik Servisi kötüye kullanımıyla TOTP/2FA SMS kodlarını, PushTAN oturumlarını ve bankacılık kimliklerini çalar. Dark web'de kiralık sunulur.

IOC

SHA256ceb48e4b9d82b2ab1125884b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
LureCommerzbank Sicherheitszertifikat (Almanya)

HydraAndroid — 악성코드 프로필

HydraAndroid 2019 Cerberus branch. Almanya bankalari hedef. Video Player APK lure. Accessibility overlay.

악성코드 유형
RAT
프로그래밍 언어
Java
C2 프로토콜
HTTP
대상 시스템
Almanya/AB/Brezilya

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (3 개 지표)

IOC — HydraAndroid
# SHA256 ceb48e4b9d82b2ab1125884b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 # DOMAIN action.de # DOMAIN category.de
유형메모
sha256 ceb48e4b9d82b2ab1125884b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
domain action.de
domain category.de
태그
hydra-androidcommerzbankgerman-bank-lureaccessibility-abuseandroid-bankingeu-targeting