Manuel Statik Analiz — Hydra Android Banking Trojan | Tehdit: KRITIK

Datei Kimliği

SHA256ceb48e4b9d82b2ab1125884b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
DateinameCommerzbank_Sicherheitszertifikat.apk
Größe1.125.884 byte (1.1MB APK)
String Sayisi5.459

Alman Bankacılık Tuzağı

Kamuflaj: "Commerzbank Sicherheitszertifikat" = "Commerzbank Konfidenzlik Sertifikası" — Almanya'nın ikinci büyük bankası!
Commerzbank_Sicherheitszertifikat.apk
-- "Sicherheitszertifikat" = Güvenlik Sertifikası (Almanca)
-- Alman bankacılar resmi güvenlik güncellemesi sanıyor!
action.DE, app.de, category.DE  -- .de (Almanya TLD) domain referansları
category.BR                      -- Brezilya da hedef!

Sahte Erişilebilirlik Servisi Tuzağı

"Attention! Without permission app may not work properly"
-- Erişilebilirlik iznini zorlayan sahte uyarı
-- İzin verilince tüm ekran/tuş loglama başlar

Hydra Hakkında

Hydra, 2019'dan beri aktif Android bankacılık trojanıdır. Almanya, Fransa, İspanya ve Brezilya'daki büyük bankaları (Commerzbank, Sparkasse, ING) taklit eder. Erişilebilirlik Servisi kötüye kullanımıyla TOTP/2FA SMS kodlarını, PushTAN oturumlarını ve bankacılık kimliklerini çalar. Dark web'de kiralık sunulur.

IOC

SHA256ceb48e4b9d82b2ab1125884b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
LureCommerzbank Sicherheitszertifikat (Almanya)

HydraAndroid — Malware-Profil

HydraAndroid 2019 Cerberus branch. Almanya bankalari hedef. Video Player APK lure. Accessibility overlay.

Malware-Typ
RAT
Programmiersprache
Java
C2-Protokoll
HTTP
Zielsysteme
Almanya/AB/Brezilya

Fähigkeiten & Verhalten

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC-Liste (3 Indikatoren)

IOC — HydraAndroid
# SHA256 ceb48e4b9d82b2ab1125884b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 # DOMAIN action.de # DOMAIN category.de
TypWertBemerkung
sha256 ceb48e4b9d82b2ab1125884b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
domain action.de
domain category.de
Tags
hydra-androidcommerzbankgerman-bank-lureaccessibility-abuseandroid-bankingeu-targeting