4ensiX

4ensiX

FPと言ったものはFPを選んだが表示はTPになっていることに気づいた。

LetsDefend level 1 alert SOC103 - Malicious APK Detected event-id 65

LetsDefend Malware

Details

EventID: 65
Event Time: Feb. 22, 2021, 11:11 a.m.
Rule: SOC103 - Malicious APK Detected
Level: Security Analyst
Source Address 10.15.15.12
Source Hostname MarksPhone
Username Mark
Package Name com.ameytbrxyx.vseuse
Device Action Blocked

playbook

Search Log

# DATE TYPE SOURCE ADDRESS SOURCE PORT DESTINATION ADDRESS DESTINATION PORT
18 Oct, 19, 2020, 10:59 PM Proxy 10.15.15.12 14774 172.217.169.206 443
19 Oct, 19, 2020, 11:03 PM Firewall 10.15.15.12 14774 172.217.169.206 443
22 Oct, 19, 2020, 11:06 PM Firewall 10.15.15.12 12441 140.82.121.4 443
351 Feb, 07, 2021, 01:21 PM Proxy 10.15.15.12 58425 13.95.16.245 443
376 Mar, 07, 2021, 05:47 PM Proxy 10.15.15.12 46234 67.199.248.10 443

2020年のものは関係が無い可能性がある。

18

Raw Log

URL: https://play.google.com/store/apps

19

No log

20

Raw Log

URL: https://github.com/googleprojectzero/domato

domato - dom fuzzer

351

Raw Log

Request URL: https://www.teamviewer.com
Request Method: GET
Device Action: Allowed

teamviewerといえばリモートアクセスツールである。動作がもっさりしており使い心地が悪いので利用していない。

376

Raw Log

Request URL: https://bit.ly/TAPSCAN

このアクセスは以前にFPであることが分かっている。
LetsDefend level 1 alert SOC105 - Requested T.I. URL address event-id 75 - 4ensiX

Analyze APK

com.ameytbrxyx.vseuseとは何か。
Koodous: https://koodous.com/apks/adf32b569a76b57ea029399a3db89d55ea4b600eadfafe39ce57d9487873740f
Sandroid:http://sanddroid.xjtu.edu.cn/report?apk_md5=34CE6EF5D49601B42815287AD4E96FCA
hybrid analysis:https://www.hybrid-analysis.com/sample/adf32b569a76b57ea029399a3db89d55ea4b600eadfafe39ce57d9487873740f?environmentId=200
勝手に電話をかけたり、smsを監視することができる。
VirusTotal: https://www.virustotal.com/gui/file/adf32b569a76b57ea029399a3db89d55ea4b600eadfafe39ce57d9487873740f

Answer: Malicious

Containment

Containment!

Add Artifacts

Value Type Comment
34ce6ef5d49601b42815287ad4e96fca MD5 Hash sms-thief app

End

f:id:Zarat:20220121210619p:plain
close alert event-id 65