Manuel Statik Analiz — Hydra Android Banking Trojan | Tehdit: KRITIK
파일 Kimliği
| SHA256 | ceb48e4b9d82b2ab1125884b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| 파일 이름 | Commerzbank_Sicherheitszertifikat.apk |
| 크기 | 1.125.884 byte (1.1MB APK) |
| String Sayisi | 5.459 |
Alman Bankacılık Tuzağı
Kamuflaj: "Commerzbank Sicherheitszertifikat" = "Commerzbank 신뢰도lik Sertifikası" — Almanya'nın ikinci büyük bankası!
Commerzbank_Sicherheitszertifikat.apk -- "Sicherheitszertifikat" = Güvenlik Sertifikası (Almanca) -- Alman bankacılar resmi güvenlik güncellemesi sanıyor! action.DE, app.de, category.DE -- .de (Almanya TLD) domain referansları category.BR -- Brezilya da hedef!
Sahte Erişilebilirlik Servisi Tuzağı
"Attention! Without permission app may not work properly" -- Erişilebilirlik iznini zorlayan sahte uyarı -- İzin verilince tüm ekran/tuş loglama başlar
Hydra Hakkında
Hydra, 2019'dan beri aktif Android bankacılık trojanıdır. Almanya, Fransa, İspanya ve Brezilya'daki büyük bankaları (Commerzbank, Sparkasse, ING) taklit eder. Erişilebilirlik Servisi kötüye kullanımıyla TOTP/2FA SMS kodlarını, PushTAN oturumlarını ve bankacılık kimliklerini çalar. Dark web'de kiralık sunulur.
IOC
| SHA256 | ceb48e4b9d82b2ab1125884b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | Commerzbank Sicherheitszertifikat (Almanya) |
HydraAndroid — 악성코드 프로필
HydraAndroid 2019 Cerberus branch. Almanya bankalari hedef. Video Player APK lure. Accessibility overlay.
악성코드 유형
RAT
프로그래밍 언어
Java
C2 프로토콜
HTTP
대상 시스템
Almanya/AB/Brezilya
기능 및 동작
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC 목록 (3 개 지표)
IOC — HydraAndroid
# SHA256
ceb48e4b9d82b2ab1125884b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
# DOMAIN
action.de
# DOMAIN
category.de
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | ceb48e4b9d82b2ab1125884b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |
| domain | action.de | |
| domain | category.de |