一、事件概要

2024.5.3的推特发布Android病毒样本帖子，对其进行分析。

二、威胁细节

样本概况

项	描述
应用名	HookAPP
包名	com.pogetezurecigu.tamike
文件类型	APK
文件大小	1.4 MB
MD5	c92683542f53e588f64bd62cf840f7c3
证书MD5	40178b234dc49d1fca15b5c11a4a236d
病毒家族	Ermak
报毒	2/63（VirusTotal）
发布时间	2024-05-02

杀毒引擎扫描结果

VT检出结果显示众多杀毒引擎识别为银行木马家族Ermac

发布日期

从VT首次捕获时间、证书时间可以推测出样本发布时间应该是2024年5月2日左右。

威胁行为分析

指令	描述
start_vnc	屏幕录制
startussd	执行指定的USSD代码
send_sms_many	发送短信
swipeup	执行向上滑动操作
takescreenshot	截屏
clickatcontaintext	通过无障碍服务点击包含指定内容的组件
startAdmin	触发管理员权限请求
removewaitview	移除等待窗口
cookie	访问指定URL，获取cookie
clearcache	清理应用缓存
updateinjectandlistapps	更新注入的应用列表
logaccounts	记录账户信息
scrollup	执行向上滑动的操作
getlocation	获取位置信息
getinstallapps	获取已安装应用列表
getaccounts	获取账户信息
onpointerevent	点击事件
deleteapplication	卸载应用
tap	点击指定位置
push	显示推送通知（单击通知将启动指定的应用程序）
downloadimage	下载图片
makecall	打电话
openwhatsapp	打开whatsapp
swipe	滑动指定坐标
longpress	长按
swiperight	向右滑动
calling	拨打电话
forwardsms	转发短信
getcallhistory	获取通话记录
clickat	点击ALT
getgmailmessage	获取邮件信息
forwardcall	电话转接
removeview	移除view窗口
cuttext	剪切文本
addcontact	添加联系人
startauthenticator2	启动 Google 身份验证器应用程序
startapp	启动应用
sendsmsall	将包含指定文本的短信从受感染设备发送给受感染设备的所有联系人
getimages	获取设备上的图片
getcontacts	获取联系人
clickattext	点击指定文本
takephoto	拍照
swipedown	向下滑动
swipeleft	向左滑动
stop_vnc	停止屏幕录制
settext	设置文本内容
sendsms	将包含指定文本的短信从受感染的设备发送到指定的电话号码