Android APK Analizi — TrojanizedWhatsApp (Blockchain1.apk) | Tehdit: YÜKSEK
Dosya Kimliği
| SHA256 | 272248f64722ef49413a6f3c339aecb78785546c1c65b9c2897e3915bd91be28 |
|---|---|
| Dosya Adı | Blockchain1.apk (4,660,698 byte — Android Package) |
| Tür | Android APK (JAR tabanlı) |
| String Sayısı | 24,498 (geniş işlevsellik) |
WhatsApp Marka Klonlama: "WhatsApp" → "Blockchain"
KLONLANMİŞ UYGULAMA: WhatsApp'ın tüm metinleri "Blockchain" adıyla değiştirilmiş!
Orijinal WhatsApp: "Blockchain secures WhatsApp conversations..." Bu APK: "Blockchain secures Blockchain conversations..." -- Tüm "WhatsApp" string'leri "Blockchain" ile değiştirilmiş: "WhatsApp" → "Blockchain" (global replace) "WhatsApp Blockchains" (WhatsApp messages) "WhatsApp calls" → "Blockchain calls" "Unable to export WhatsApp conversation" → "Blockchain conversation" "WhatsApp has starred messages" → "Blockchain have starred Blockchains" -- Bu OPSEC hatası: developer global find-replace yapmış ama string'leri gözden geçirmemiş "Blockchain Blockchains, calls and status updates" = "Messages, calls and status" -- Kullanıcı: normal WhatsApp gibi görünen sahte uygulama -- Kaynağı: WhatsApp APK kaynak kodu decompile edilmiş → trojanlı versiyonu derlenmiş
BIP-39 Tohum Kelime Listesi: Kripto Cüzdan Boşaltıcı
-- Crypto string analizi: filluwquwsfhr, snowboard, endangered, jeans, prizes... -- BIP-39 kelime listesi: Bitcoin/Ethereum/Solana cüzdanları 12-24 kelime tohum kullanır -- Bu APK'da gömülü: 2048 kelimelik BIP-39 kelime listesi -- Kullanım: 1. Kullanıcıya "Blockchain cüzdanınızı bağlayın" ekranı 2. 12-24 kelime girişi → APK tohum kelimeleri tanır 3. Tohum → özel anahtar türetilir → cüzdan boşaltılır -- Hedef cüzdanlar: Bitcoin, Ethereum, Solana, BNB, TRON -- Ek: anas tausti = Litvanca "voice search" → Baltık bölgesi veya Rusça konuşan hedef
Kredi Kartı Formu: Ödeme Bilgisi Hırsızlığı
Enter the expiration date. For a Maestro card, enter 01/49. -- Uygulama içinde kredi/banka kartı giriş formu -- Maestro: Avrupa ve Latin Amerika'da yaygın banka kartı ağı -- "01/49" = sahte vade tarihi ipucu (standart UI örneği) -- Toplanan veriler: kart numarası, CVV, vade tarihi, isim -- Sunucu tarafına gönderilir (C2 endpoint)
Ekran Görüntüsü + Kamera İzinleri
"Add screenshot" "Add screenshots (optional)" "Screenshot" -- Uygulama ekran görüntüsü alabilme özelliği içeriyor -- Android izinleri (muhtemel): READ_CONTACTS — rehber okuma RECORD_AUDIO — ses kayıt CAMERA — kamera erişimi READ_SMS — SMS okuma (2FA bypass için) INTERNET — C2 iletişimi -- 2FA bypass: SMS izni + OTP okuma → banka hesabı ele geçirme
IOC
| SHA256 | 272248f64722ef49413a6f3c339aecb78785546c1c65b9c2897e3915bd91be28 |
|---|---|
| Platform | Android APK |
| Yetenekler | Kripto cüzdan drainer, kredi kartı toplayıcı, ekran yakalama |
TrojanizedWhatsApp — Malware Profile
Trojanized WhatsApp clone with WhatsApp/Blockchain brand substitution. BIP-39 cryptocurrency seed phrase word list for wallet draining. Credit/debit card payment form (Maestro). Screenshot capability. Targets Baltic/Eastern European users.
Malware Type
Other
Programming Language
Java/Android
C2 Protocol
HTTPS
Target Systems
Avrupa/Latin Amerika
Capabilities & Behavior
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
IOC List (1 indicators)
IOC — TrojanizedWhatsApp
# SHA256
272248f64722ef49413a6f3c339aecb78785546c1c65b9c2897e3915bd91be28
| Type | Value | Note |
|---|---|---|
| sha256 | 272248f64722ef49413a6f3c339aecb78785546c1c65b9c2897e3915bd91be28 |