Milhões de vítimas do Malware Hydra

"#aiedonline em youtube.com/c/aiedonline"

Livro Linux: https://docs.google.com/document/d/14S8MAcjspdbBWsja-Ijb_GQfs4C1PzJmDcTJ3bYXyeQ/edit?usp=sharing
Livro Hacker: https://docs.google.com/document/d/17R67zmmJw46yMGYpqt9WOjdo4mLCBjNQbmCNcQuLDlc/edit?usp=sharing

Seja membro: https://youtu.be/fEdz5zX2-4M

Ajude o canal, seja membro o faça um PIX de qualquer valor para wellington.aied@gmail.com

TELEGRAM: https://t.me/joinchat/VPKVjQZAptLV4n0h

SLIDE: https://docs.google.com/presentation/d/1YA5Ds04pn2PgHnBmxwEy1it7stXUxt59aRHXlqBZO6Q/edit?usp=sharing

Ajude o canal, seja membro o faça um PIX de qualquer valor para wellington.aied@gmail.com

Milhões de vitmas do Malware Hydra

INSTRUÇÕES
CONTEÚDO
Todo o conteúdo obtido é de ambiente controlado, informações práticas são de laboratórios com ambiente privado.

MINHA OPNIÃO PODE NÃO AGRADAR.
DIREITO SOBRE MARCAS
Toda tecnologia citada aqui será citada como referência para estudo e devidos direitos serão respeitados.

2

Olá!
Não Importa
Vou falar sobre: Milhões de vítmas do Malware Hydra

Para entrar em contato: TELEGRAM
3

1
MUDANÇA EM CURSO
Um clássico malware infectando milhões
4

Bancos e aplicações financeiras são alvos de quadrilhas que utilizam malwares para seus fins.
5

SOBRE
Hydra é uma variante do Android BankBot, um tipo de malware projetado para roubar credenciais bancárias.

Solicitando que o usuário habilite permissões perigosas, como acessibilidade, e toda vez que o aplicativo bancário é aberto, o malware está fazedo é substituindo a página de login do aplicativo bancário legítimo por uma maliciosa.

6

A mudança
O malware Hydra Banking Trojan tem como alvo os aplicativos bancãrios que rodam no Android desde 2019, mas recentemente vem se alastrando por países europeus.
7

A mudança
Pesquisadores do Threat Protection Labs identificaram um novo padrão e técnica em uso, vendo esse malware sendo preparado e pronto para ser implantado para atingir um conjunto mais amplo de usuários do Android.

8

AAAA
O malware está se passando por grandes bancos respeitáveis ​​na Alemanha e na Áustria, como:
Volksbank;
Bank Austria;
BAWAG PSK;
CommerzBank;
Deutsche Bank;
easybank;
Santander.

9

Procedimento
10

ATAQUE EM ANDAMENTO
Atualmente um ataque em massa está em execução desde o último trimestre de 2021 (estamos em abril 2022);

São mais de 50 milhões de vítmas (segundo avira.com);
11

AMOSTRAS OBTIDAS DA URL
12

DOMÍNIOS NESTE IP
13

ALVOS NO MOMENTO
14

ALVOS NO MOMENTO
15

DETECTANDO
ANDROID/Dropper.Agent.GAAN.Gen
ANDROID/Dropper.FKLB.Gen
ANDROID/Dropper.FKHF.Gen

16

COMPORTAMENTO
O serviço de acessibilidade é usado;
Descarta um DEX que é excluído depois;
Oculta o ícone do iniciador;
As preferências salvas contêm uma lista de nomes de pacotes de outros aplicativos bancários;
Acessa um URL .onion DarkWeb;
Carrega um arquivo zip do URL;

17

OCULTANDO SERVIDOR
Ao usar um .onion para obter a URL “RASTREÁVEL”, os autores do malware minimizam suas perdas.

Quando o domínio da URL “RASTREÁVEL” for removido, outro pode ser configurado e a resposta do .onion será simplesmente atualizada.
18

ARQUIVO OBTIDO
19

ARQUIVO OBTIDO
20

ARQUIVO OBTIDO
21

ARQUIVO OBTIDO
22

OFUSCAÇÃO
23

Obrigado!
Tem dúvdias?
Entre no Telegram que está na descrição do vídeo
24