SHA1-хеш:
- 97978deb466d6a1a2dd4fdc3e63a6f800d96005c
Описание
Этот троян мы обнаружили в множестве модов различных популярных приложений. На примере мода стриминга Spotify «[AIMODS] Spotify v9.0.70.5 (arm64).apk» разберем схему их работы.
Этот троян использует тот же управляющий сервер, что и Android.Phantom.2.origin: dllpgd[.]click. SHA1 для apk-файла этого зараженного мода 97978deb466d6a1a2dd4fdc3e63a6f800d96005c. Имя SDK в коде трояна: DllpgdLiteSDK.
Вредоносное ПО запрашивает указанный выше сервер и получает задачи по загрузке удаленного кода. Вот пример полученной задачи по запросу на адрес hxxps[:]//dllpgd[.]click/api/v1/dllpgd/getConfig.
{
"dllpgdConfig": {
"plugins": [
{
"id": "1",
"name": "device_collection",
"url": "hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com/dllpgd_plugin%2Fdevice_info%2Fencrypted_device_info_251024182609",
"md5": "253c0eebc3b81719e6dfcf48644988e6",
"className": "com.imuw.device_info.DeviceInfo",
"delayRunSeconds": "1",
"lastVersion": "251024182609",
"password": "JViQRjTaPuwfjn9d",
"pluginStatus": 1,
"endDelete": true
},
{
"id": "4",
"name": "gegu_sdk",
"url": "hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com/dllpgd_plugin%2Fgegu_sdk%2Fencrypted_gegu_sdk_250607141254",
"md5": "022946550d2e746a962f29a736818be6",
"className": "com.imuw.gegu_sdk.GeguSDK",
"delayRunSeconds": "1",
"lastVersion": "250607141254",
"password": "S5UvPqNkfEAncaDP",
"pluginStatus": 1,
"startIndex": "10",
"runInSubProcess": true
},
{
"id": "6",
"name": "h5_v1_refactor",
"url": "hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com/dllpgd_plugin%2Fh5_lite%2Fencrypted_h5_lite_250924162836",
"md5": "ce8a781080d0218ed3a3e35f9d1b6350",
"className": "com.idlmlpugdw.h5_v1_refactor.H5V1Refactor",
"needRun": true,
"delayRunSeconds": "1",
"lastVersion": "250924162836",
"password": "YsKJlMfPgHW6CTl6",
"pluginStatus": 1,
"startIndex": "50",
"runInSubProcess": true
}
],
"sessionId": "ХХХ"
}
}Файлы удаленного вредоносного кода грузятся с URL hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com. Обратите внимание, что файлы нейронной сети Android.Phantom.2.origin также загружаются с этого URL. Код поступает зашифрованным, в задаче есть поле password — это ключ в кодировке utf-8 для дешифрования файлов, алгоритм AES в режиме ECB.
Далее на устройство устанавливаются плагины:
- device_collection — это Android.Phantom.5.origin. Он отправляет информацию об устройстве на hxxps[:]//iboot[.]site, в том числе номер телефона, геолокацию, список приложений;
- gegu_sdk — итоговая полезная нагрузка: Android.Phantom.4.origin. Функционал тот же, что у Android.Phantom.5;
- h5_v1_refactor — Android.Phantom.2.origin.
Матрица MITRE
| Этап | Техника |
|---|---|
|
Первоначальный доступ |
Управление версиями приложений (T1661) |
|
Выполнение |
Интерпретаторы командной строки и сценариев (T1623) |
|
Предотвращение обнаружения |
Управление версиями приложений (T1661) Загрузка нового кода во время выполнения (T1407) Инъекция ввода (T1516) Обфускация файлов или информации (T1406) Обход виртуализации или песочницы (T1633) Системные проверки (T1633.001) |
|
Обнаружение |
Отслеживание местоположения (T1430) Обнаружение ПО (T1418) Получение информации о системе (T1426) Получение конфигурации сети системы (T1422) |
|
Сбор данных |
Отслеживание местоположения (T1430) Защищенные данные пользователя (T1636) Захват экрана (T1513) |
|
Организация управления |
Протокол прикладного уровня (T1437) Зашифрованный канал (T1521) Симметричное шифрование (T1521.001) Передача инструментов из внешней сети (T1544) ПО для удаленного доступа (T1663) |
|
Деструктивное воздействие |
Генерация трафика с устройства жертвы (T1643) Инъекция ввода (T1516) |
