Manuel Statik Analiz — Hook Android RAT (ermak.apk) | Tehdit: KRITIK

Dosya Kimliği

SHA256e29def53e832ca9c2650769b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adıermak.apk
Boyut2.650.769 byte (2.6MB APK)
String Sayisi13.756

Sahte Chrome Güncelleme Overlay

Sosyal Mühendislik: Kurban ekranında "Chrome güncelleyin" mesajı gösteriliyor ve tıklatarak Erişilebilirlik Servisi yetkisi alınıyor!
"Turn on Chrome Update, to complete"  -- Sahte güncelleme mesajı
ic_chrome.xml                          -- Sahte Chrome ikon kaynağı
drawable/ic_chrome.xml                 -- AndroidManifest'e gömülü
-- Kullanıcı "Chrome'u güncelleyin" diye düşünerek tıklıyor
-- Accessibility Service yetkisi verilerek overlay kontrolü alınıyor

Hook Hakkında

Hook, 2022'de Godfather Android banking trojan'ının geliştiricisi tarafından üretilen yeni nesil Android RAT'tır. $7000/ay fiyatla kiraya verilmektedir. Accessibility Service, VNC benzeri ekran paylaşımı ve WebSocket C2 protokolünü birleştirmektedir. 30+ ülkede bankacılık uygulamalarını hedeflemektedir.

IOC

SHA256e29def53e832ca9c2650769b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosyaermak.apk (gizli APK ismi)
TeknikSahte Chrome Güncelleme + Accessibility Overlay
Fiyat$7000/ay (dark web kiralık)

HookAndroid — Malware Profile

Hook Android RAT 2022 $7000/ay Godfather geliştiricisi. VNC+Overlay+WebSocket C2. Chrome sahte güncelleme.

Malware Type
RAT
Programming Language
Java/Kotlin
C2 Protocol
HTTPS
Target Systems
Android Banka Kullanicilari

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — HookAndroid
# SHA256 e29def53e832ca9c2650769b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 e29def53e832ca9c2650769b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
hookandroidermak-apkchrome-update-overlayfake-chromeaccessibilitybanking-trojangodfather-successor