Manuel Statik Analiz — Hook Android RAT (ermak.apk) | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | e29def53e832ca9c2650769b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | ermak.apk |
| Boyut | 2.650.769 byte (2.6MB APK) |
| String Sayisi | 13.756 |
Sahte Chrome Güncelleme Overlay
Sosyal Mühendislik: Kurban ekranında "Chrome güncelleyin" mesajı gösteriliyor ve tıklatarak Erişilebilirlik Servisi yetkisi alınıyor!
"Turn on Chrome Update, to complete" -- Sahte güncelleme mesajı ic_chrome.xml -- Sahte Chrome ikon kaynağı drawable/ic_chrome.xml -- AndroidManifest'e gömülü -- Kullanıcı "Chrome'u güncelleyin" diye düşünerek tıklıyor -- Accessibility Service yetkisi verilerek overlay kontrolü alınıyor
Hook Hakkında
Hook, 2022'de Godfather Android banking trojan'ının geliştiricisi tarafından üretilen yeni nesil Android RAT'tır. $7000/ay fiyatla kiraya verilmektedir. Accessibility Service, VNC benzeri ekran paylaşımı ve WebSocket C2 protokolünü birleştirmektedir. 30+ ülkede bankacılık uygulamalarını hedeflemektedir.
IOC
| SHA256 | e29def53e832ca9c2650769b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya | ermak.apk (gizli APK ismi) |
| Teknik | Sahte Chrome Güncelleme + Accessibility Overlay |
| Fiyat | $7000/ay (dark web kiralık) |
HookAndroid — Malware Profile
Hook Android RAT 2022 $7000/ay Godfather geliştiricisi. VNC+Overlay+WebSocket C2. Chrome sahte güncelleme.
Malware Type
RAT
Programming Language
Java/Kotlin
C2 Protocol
HTTPS
Target Systems
Android Banka Kullanicilari
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — HookAndroid
# SHA256
e29def53e832ca9c2650769b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | e29def53e832ca9c2650769b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |