Manuel Statik Analiz — Hydra Android Banking Trojan | Tehdit: KRITIK

Dosya Kimliği

SHA256ceb48e4b9d82b2ab1125884b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıCommerzbank_Sicherheitszertifikat.apk
Boyut1.125.884 byte (1.1MB APK)
String Sayisi5.459

Alman Bankacılık Tuzağı

Kamuflaj: "Commerzbank Sicherheitszertifikat" = "Commerzbank Güvenlik Sertifikası" — Almanya'nın ikinci büyük bankası!
Commerzbank_Sicherheitszertifikat.apk
-- "Sicherheitszertifikat" = Güvenlik Sertifikası (Almanca)
-- Alman bankacılar resmi güvenlik güncellemesi sanıyor!
action.DE, app.de, category.DE  -- .de (Almanya TLD) domain referansları
category.BR                      -- Brezilya da hedef!

Sahte Erişilebilirlik Servisi Tuzağı

"Attention! Without permission app may not work properly"
-- Erişilebilirlik iznini zorlayan sahte uyarı
-- İzin verilince tüm ekran/tuş loglama başlar

Hydra Hakkında

Hydra, 2019'dan beri aktif Android bankacılık trojanıdır. Almanya, Fransa, İspanya ve Brezilya'daki büyük bankaları (Commerzbank, Sparkasse, ING) taklit eder. Erişilebilirlik Servisi kötüye kullanımıyla TOTP/2FA SMS kodlarını, PushTAN oturumlarını ve bankacılık kimliklerini çalar. Dark web'de kiralık sunulur.

IOC

SHA256ceb48e4b9d82b2ab1125884b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
LureCommerzbank Sicherheitszertifikat (Almanya)

HydraAndroid — Malware Profile

HydraAndroid 2019 Cerberus branch. Almanya bankalari hedef. Video Player APK lure. Accessibility overlay.

Malware Type
RAT
Programming Language
Java
C2 Protocol
HTTP
Target Systems
Almanya/AB/Brezilya

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (3 indicators)

IOC — HydraAndroid
# SHA256 ceb48e4b9d82b2ab1125884b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 # DOMAIN action.de # DOMAIN category.de
TypeValueNote
sha256 ceb48e4b9d82b2ab1125884b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
domain action.de
domain category.de
Tags
hydra-androidcommerzbankgerman-bank-lureaccessibility-abuseandroid-bankingeu-targeting