1275.ru
Open in
urlscan Pro
2606:4700:3032::ac43:8c54
Public Scan
URL:
https://1275.ru/ioc/3529/android-click-414-origin-trojan-iocs/
Submission: On December 04 via manual from ES — Scanned from ES
Submission: On December 04 via manual from ES — Scanned from ES
Form analysis 2 forms found in the DOM
GET https://1275.ru/
<form role="search" method="get" class="search-form" action="https://1275.ru/"> <label> <span class="screen-reader-text"><!--noindex-->Search for:<!--/noindex--></span> <input type="search" class="search-field" placeholder="Поиск…" value="" name="s">
</label> <button type="submit" class="search-submit"></button> <label class="apbct_special_field" id="apbct_label_id39259" for="apbct__email_id__search_form_39259">39259</label><input id="apbct__email_id__search_form_39259"
class="apbct_special_field apbct__email_id__search_form" name="apbct__email_id__search_form_39259" type="text" size="30" maxlength="200" autocomplete="off" value="39259" apbct_event_id="39259"><input id="apbct_submit_id__search_form_39259"
class="apbct_special_field apbct__email_id__search_form" name="apbct_submit_id__search_form_39259" type="submit" size="30" maxlength="200" value="39259"></form>POST https://1275.ru/wp-comments-post.php
<form action="https://1275.ru/wp-comments-post.php" method="post" id="commentform" class="comment-form" novalidate="">
<p class="comment-form-author"><label class="screen-reader-text" for="author">Имя <span class="required">*</span></label> <input id="author" name="author" type="text" value="" size="30" maxlength="245" required="required" placeholder="Имя"></p>
<p class="comment-form-email"><label class="screen-reader-text" for="email">Email <span class="required">*</span></label> <input id="email" name="email" type="email" value="" size="30" maxlength="100" required="required" placeholder="Email"></p>
<p class="comment-form-comment"><label class="screen-reader-text" for="comment">Комментарий</label> <textarea id="comment" name="comment" cols="45" rows="8" maxlength="65525" required="required" placeholder="Комментарий"></textarea></p>
<p class="form-submit"><input name="submit" type="submit" id="submit" class="submit" value="Отправить комментарий"> <input type="hidden" name="comment_post_ID" value="3529" id="comment_post_ID"> <input type="hidden" name="comment_parent"
id="comment_parent" value="0"> </p><input type="hidden" id="ct_checkjs_1c1d4df596d01da60385f0bb17a4a9e0" name="ct_checkjs" value="f6d951e4a9baeb3a3a6e925bb08f1481cc1bdfce0c3c99a308d163ca131c78f0">
<script>
setTimeout(function() {
var ct_input_name = "ct_checkjs_1c1d4df596d01da60385f0bb17a4a9e0";
if (document.getElementById(ct_input_name) !== null) {
var ct_input_value = document.getElementById(ct_input_name).value;
document.getElementById(ct_input_name).value = document.getElementById(ct_input_name).value.replace(ct_input_value, 'f6d951e4a9baeb3a3a6e925bb08f1481cc1bdfce0c3c99a308d163ca131c78f0');
}
}, 1000);
</script><input type="hidden" id="apbct_visible_fields_1" name="apbct_visible_fields"
value="eyIwIjp7InZpc2libGVfZmllbGRzIjoiYXV0aG9yIGVtYWlsIGNvbW1lbnQiLCJ2aXNpYmxlX2ZpZWxkc19jb3VudCI6MywiaW52aXNpYmxlX2ZpZWxkcyI6ImNvbW1lbnRfcG9zdF9JRCBjb21tZW50X3BhcmVudCBjdF9ub19jb29raWVfaGlkZGVuX2ZpZWxkIiwiaW52aXNpYmxlX2ZpZWxkc19jb3VudCI6M319"><input
name="ct_no_cookie_hidden_field"
value="_ct_no_cookie_data_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"
type="hidden" class="apbct_special_field ct_no_cookie_hidden_field">
</form>Text Content
Перейти к содержанию Search for: 39259 SEC-1275-1 * Security * IOC * Vulnerabilities * CVE * BDU * Signatures * Malware * Списки * DGA * Список узлов ТОР (TOR) * Термины * Security * IOC * Vulnerabilities * CVE * BDU * Signatures * Malware * Списки * DGA * Список узлов ТОР (TOR) * Термины * Security * IOC * Vulnerabilities * CVE * BDU * Signatures * Malware * Списки * DGA * Список узлов ТОР (TOR) * Термины Главная страница » IOC ANDROID.CLICK.414.ORIGIN TROJAN IOCS IOC Опубликовано 21.06.2024 Исследователи компании DoctorWeb обнаружили подозрительный код в приложении для управления игрушками для взрослых Love Spouse в магазине Google Play. Приложение содержало троян-кликер, который тайно открывает рекламные сайты и кликает по страницам. Этот тип вредоносного ПО может использоваться для скрытой рекламы, переходов по ссылкам, платных подписок и DDoS-атак. Троян, идентифицированный как Android.Click.414.origin, маскировался под отладочный компонент. Этот же вредонос был обнаружен в приложении для отслеживания физической активности QRunning, которое было выпущено китайскими разработчиками и насчитывало более 1,5 миллиона установок. Table of Contents Toggle * Android.Click.414.origin * Indicators of Compromise * IPv4 * Domains * SHA1 ANDROID.CLICK.414.ORIGIN В приложении Love Spouse внедрение вредоносного кода, судя по всему, произошло недавно, но разработчик уже обновил его, удалив троян в версии 1.8.8. Однако для приложения QRunning обновлений не было. Обнаруженное вредоносное ПО, предположительно, является модификацией другого трояна, Android.Click.410.origin, который был обнаружен в приставке в апреле прошлого года. Было установлено, что на приставке установлена версия Android, отличная от заявленной. Троян Android.Click.414.origin имеет модульную структуру, в которой разные модули выполняют различные действия. Он получает информацию об устройстве, загружает скрытые веб-страницы, загружает рекламу и кликает по ней. Троян также способен обнаруживать контролируемые среды и сообщать об этом на свой управляющий сервер. Он активируется только на устройствах с некитайским языком интерфейса. После запуска троян передает подробную информацию об устройстве на свой сервер управления и выполняет различные стратегии. Он загружает веб-сайты с помощью WebView, прокручивает содержимое страниц, вводит текст в формы и отключает звук. Троян также может делать скриншоты отображаемого сайта, анализировать их пиксель за пикселем и определять кликабельные области. Он использует поисковые системы Bing, Yahoo и Google для размещения рекламных ссылок, основанных на ключевых словах. Первоначально эта вредоносная программа была обнаружена в неофициальных магазинах приложений для Android, но теперь она проникла и в официальный магазин Google Play Store. INDICATORS OF COMPROMISE IPV4 * 104.250.52.73 * 128.14.143.26 DOMAINS * 5.ahd187.com * capture.airmfly.com * cn.com.goodsdk.hw.ad * geo.airmfly.com * keywords.airmfly.com * planwm.weatherokye.com * play.airmfly.com * stg.airmfly.com * trends.search-hub.cn * usae.dsp.dbincome.com SHA1 * 06c99cf6e53bfe9b730f57a531a4ef5202bafefa * 159438fcbc60c9988110cb2e3abd6a8c9e94f3c4 * 44bc9a3bcae3d19ccc1fb0429e22df8b407443f9 * 5ee7fee0f817cefe91211006472ffe774ab9ac5d * 66c09fe739d3477b9e7af996ed3e35115a47e4b1 * 862ae5f2334fcf7bdc37caa4f16076e18a409b6e * d65ca4d9608411da9bb2e992c1dc710774b145c9 * df8c11d4a1496f81e9ae89fe61e1e67f2926c328 Похожие записи: 1. Trojan.Clipper.231 IOCs 2. Fruity Trojan IOCs 3. Pandora Trojan IOCs 4. BtcMine Trojan IOCs 5. BitRAT Trojan IOC Andriod Dr.Web trojan Gnostis Добавить комментарий Отменить ответ Имя * Email * Комментарий RSS Indicator of compromise CVE BDU Anuncio Свежие записи * [GS-583] Mirai Botnet IOCs * Remcos, DarkGate и BrockenDoor * Gafgyt Botnet IOCs * CleverSoar Malware IOCs * CVE-2024-49040: Уязвимость в Microsoft Exchange Server * CVE-2024-11120: Выполнение произвольного кода в GeoVision devices * CVE-2024-52553: Получение конфиденциальной информации в Jenkins OpenId Connect Authentication plugin * CVE-2022-46751: Получение конфиденциальной информации в Jenkins IvyTrigger plugin * CVE-2024-0012: Получение конфиденциальной информации в Palo Alto Networks PAN-OS management web interface * CVE-2024-1212: Выполнение произвольного кода в Progress LoadMaster Популярные записи: * CVE-2024-49040: Уязвимость в Microsoft Exchange Server * CVE-2022-46751: Получение конфиденциальной… * CVE-2024-11120: Выполнение произвольного кода в… * CVE-2024-52553: Получение конфиденциальной… * CVE-2024-9832: Получение конфиденциальной информации… * CVE-2024-9834: Получение конфиденциальной информации… * CVE-2024-1212: Выполнение произвольного кода в… * CVE-2024-0012: Получение конфиденциальной информации… * AgentTesla Stealer IOCs - Part 16 * [GS-583] Mirai Botnet IOCs 2022-2024 © General Software