Malware Hydra jako aplikacja WP

Dzisiaj w naszych phishingach wpadło coś nowego. Tym razem oszuści, specjalizujący się w fałszywych aplikacjach mobilnych wzięli na cel Wirtualną Polskę. Co ciekawe, w kampanii zrobili jeden poważny błąd – ciekawe, ilu użytkowników go zobaczy.

Najpierw do potencjalnej ofiary trafia taka sugestia (nie jesteśmy w stanie w stu procentach określić wektora ataku, bowiem włączyliśmy się w cykl poniekąd „w trakcie”):

Klikając w „pobierz aplikację” jesteśmy tradycyjnie przekierowywani na stronę hxxps://play-google.pl/lander/show-for-wp/, do witryny, udającej Sklep Google Play (już zablokowaliśmy ją na CyberTarczy):

To jak, w końcu 1Login, czy AntiSpam? Cóż, wersja trzecia – trojan, wyspecjalizowany w kradzieży poświadczeń bankowości elektronicznej, nasza analiza wskazuje, że chodzi o Hydrę. Malware w VirusTotalu w momencie porannej analizy wykrywało zaledwie 10 z 63 silników antywirusowych, po południu było ich już 23.

Po odpaleniu rzekomy antyspam wymaga jeszcze dodania mu dodatkowych uprawnień:

Manifest aplikacji dowodzi, że ma ona całkiem spore wymagania:

A na koniec „zadanie dla chętnych”. Malware po zainstalowaniu próbuje się połączyć z domeną o przewrotnym adresie hxxp://anynewdomain.xyz, tam, pod adresem /login, znajdziemy panel do logowania, być może co serwera C&C. Ktoś chętny do zajrzenia „na drugą stronę”?