Man
Professional
- Messages
- 2,965
- Reaction score
- 488
- Points
- 83
Ключевые моменты
- В конце октября 2024 года команда Cleafy TIR обнаружила и проанализировала новый Android Remote Access Trojan (RAT). В ходе расследования были обнаружены следы этой угрозы, датируемые июнем 2024 года. Однако на момент написания статьи не было выявлено никаких связей с какими-либо известными семействами вредоносных программ. Следовательно, команда классифицировала эту новую угрозу под названием DroidBot на основе доменного имени, используемого этой вредоносной программой.
- DroidBot — это современный RAT, который сочетает скрытые методы VNC и атаки с оверлейными возможностями, подобными шпионскому ПО, например, кейлоггинг и мониторинг пользовательского интерфейса. Более того, он использует двухканальную связь, передавая исходящие данные через MQTT и получая входящие команды через HTTPS, что обеспечивает повышенную гибкость и устойчивость работы.
- На момент написания статьи DroidBot нацелен на 77 различных субъектов, включая банковские учреждения, криптовалютные биржи и национальные организации. Активные кампании наблюдались в таких странах, как Великобритания, Италия, Франция, Испания и Португалия, что указывает на потенциальное расширение в Латинскую Америку.
Несоответствия, наблюдаемые в нескольких образцах, указывают на то, что эта вредоносная программа все еще находится в стадии активной разработки. Эти несоответствия включают функции-заполнители, такие как проверки root, различные уровни обфускации и многоэтапную распаковку. Такие вариации указывают на продолжающиеся усилия по повышению эффективности вредоносной программы и ее адаптации к определенным средам. - Информация, полученная из образцов вредоносного ПО (например, строки отладки, файлы конфигурации и т. д.), позволяет нам предположить, что большинство его разработчиков являются носителями турецкого языка. Это наблюдение отражает, по крайней мере частично, усилия по адаптации тактик для более широкого географического воздействия.
Управляющее резюме
DroidBot — это усовершенствованный Android-троян удаленного доступа (RAT), который сочетает в себе классические скрытые возможности VNC и оверлея с функциями, часто связанными со шпионским ПО. Он включает в себя кейлоггер и процедуры мониторинга, которые позволяют перехватывать действия пользователя, что делает его мощным инструментом для слежки и кражи учетных данных. Отличительной особенностью DroidBot является его двухканальный механизм связи: исходящие данные с зараженных устройств передаются с использованием протокола MQTT, в то время как входящие команды, такие как спецификации цели оверлея, принимаются по HTTPS. Такое разделение повышает его операционную гибкость и устойчивость.На момент анализа было выявлено 77 отдельных целей, включая банковские учреждения, криптовалютные биржи и национальные организации, что подчеркивает его потенциал для широкомасштабного воздействия. В частности, субъект угрозы, стоящий за DroidBot, был связан с Турцией, что отражает более широкую тенденцию адаптации тактики и географического фокуса.
Анализ образцов DroidBot также выявил его инфраструктуру Malware-as-a-Service (MaaS), в которой было идентифицировано 17 отдельных аффилированных групп, каждой из которых были присвоены уникальные идентификаторы. Интересно, что было обнаружено, что несколько аффилированных лиц взаимодействовали через один и тот же сервер MQTT, что позволяет предположить, что некоторые группы могут сотрудничать или участвовать в демонстрационных сессиях, демонстрирующих возможности вредоносного ПО.
Более того, DroidBot, по-видимому, находится в стадии активной разработки. Некоторые функции, такие как проверки root, существуют в качестве заполнителей и еще не реализованы должным образом, в то время как другие функции различаются между образцами (например, обфускация, проверки эмулятора, многоэтапная распаковка). Эти несоответствия предполагают продолжающуюся доработку для улучшения функциональности или адаптации к определенным средам. Несмотря на эти признаки разработки, вредоносное ПО уже продемонстрировало свой потенциал, успешно нацелившись на пользователей в Великобритании, Италии, Франции, Испании и Португалии, с признаками расширения в лингвистически схожие регионы Латинской Америки. Сочетание расширенных функций наблюдения, двухканальной связи, разнообразного списка целей и активной инфраструктуры MaaS подчеркивает сложность и адаптивность DroidBot. По мере своего развития это вредоносное ПО представляет растущую угрозу финансовым учреждениям, государственным структурам и другим ценным целям во многих регионах.
В следующей таблице представлена сводка TTP кампаний DroidBot:
| Первое доказательство | Середина 2024 г. |
|---|---|
| Состояние | Активный |
| Затронутые субъекты | Розничный банкинг |
| Целевые ОС | андроид |
| Целевые страны | Германия, Франция, Италия, Турецкий, Великобритания, Испания, Португалия |
| Зараженная Цепь | Боковая загрузка с помощью социальной инженерии |
| Сценарий мошенничества | Мошенничество на устройстве (ODF) |
| Предпочтительный вывод средств | Данные отсутствуют. |
| Обработанная сумма (за перевод) | Данные отсутствуют. |
Технический анализ
Обзор вредоносного приложения
Чтобы заставить жертв загрузить и установить DroidBot, ТА используют обычные приманки, часто наблюдаемые в кампаниях по распространению банковского вредоносного ПО. В этом случае вредоносное ПО маскируется под общие приложения безопасности, сервисы Google или популярные банковские приложения.
Рисунок 1. Распространенная приманка, используемая в кампаниях DroidBot
Как и большинство современных вредоносных программ для банковского обслуживания Android, DroidBot в значительной степени полагается на злоупотребление Accessibility Services для выполнения своих вредоносных функций. Эти службы обычно запрашиваются на начальных этапах установки, как показано на рисунке выше. DroidBot, по-видимому, был разработан с использованием фреймворка B4A, популярного фреймворка для собственных приложений Android. Важно отметить, что B4A широко используется во вредоносном ПО, разработанном бразильскими TA, например, в семействе Brata и его известном варианте CopyBara.
DroidBot предлагает ряд функций, обычно встречающихся в современных вредоносных банковских программах для Android, в том числе:
- Перехват SMS: вредоносная программа отслеживает входящие SMS-сообщения, часто используемые финансовыми учреждениями для передачи номеров аутентификации транзакций (TAN), что позволяет злоумышленникам обходить механизмы двухфакторной аутентификации.
- Кейлоггерство: используя службы специальных возможностей, DroidBot собирает конфиденциальную информацию, отображаемую на экране или вводимую пользователем, например учетные данные для входа, персональные данные или балансы счетов.
- Атака с наложением: этот подход заключается в отображении поддельной страницы входа в систему поверх легитимного банковского приложения, как только жертва его открывает, для перехвата действительных учетных данных.
- Процедура, подобная VNC: DroidBot периодически делает снимки экрана устройства жертвы, предоставляя злоумышленникам непрерывные визуальные данные, которые позволяют в режиме реального времени получить представление об активности устройства.
- Взаимодействие с экраном: используя весь потенциал Accessibility Services, DroidBot обеспечивает удаленное управление зараженным устройством. Это включает в себя выполнение команд для имитации взаимодействия с пользователем, например нажатия кнопок, заполнения форм и навигации по приложениям, что фактически позволяет злоумышленникам управлять устройством так, как будто они физически присутствуют.
В этом отчете не будет представлен глубокий анализ этих функций, поскольку они являются стандартными функциями большинства современных банковских троянов. Более того, наш анализ не выявил никаких примечательных инноваций в их реализации. Вместо этого в следующих разделах мы сосредоточимся на некоторых уникальных и интригующих аспектах, обнаруженных в ходе нашего расследования.
Изучение коммуникации C2
Банковский троян DroidBot использует нетрадиционный метод связи Command-and-Control (C2), используя протокол MQTT (Message Queuing Telemetry Transport). Этот легкий и эффективный протокол, традиционно используемый в IoT и системах обмена сообщениями в реальном времени, позволяет DroidBot достигать бесшовной эксфильтрации данных с зараженных устройств.Выбор MQTT особенно примечателен, поскольку его использование среди вредоносных программ Android остается относительно редким. Стратегическое решение TA способствует эффективной коммуникации и повышает способность вредоносных программ избегать обнаружения. Приняв протокол, который обычно не ассоциируется с вредоносной деятельностью, операторы DroidBot могут оставаться вне радаров обычных мер безопасности.
Использование DroidBot MQTT отражает растущую тенденцию в ландшафте вредоносных программ. Недавние примеры банковских троянов Android, использующих этот протокол, включают Copybara и BRATA/AmexTroll. Первоначально активные в Латинской Америке, эти семейства недавно расширили свою деятельность на Европу, демонстрируя растущую универсальность и географическое распространение таких методов.
DroidBot динамически извлекает адрес брокера MQTT из удаленного ресурса, чтобы обеспечить устойчивость и смягчить последствия сбоев. В частности, вредоносная программа использует жестко закодированный домен в своем исходном коде для запроса HTTP на указанную конечную точку. Эта конечная точка, /GETM5662, возвращает адрес брокера.
Рисунок 2 — Получение домена брокера MQTT
В более ранних версиях DroidBot этот адрес доставлялся в виде обычного текста, как показано на предыдущем изображении. Однако ТА недавно адаптировали свои методы для повышения устойчивости и скрытности. В последних образцах ответ, содержащий адрес брокера, сначала шифруется, а затем кодируется в Base64 перед доставкой вредоносному ПО. После получения вредоносное ПО декодирует и расшифровывает адрес, который используется для установления соединения с брокером MQTT.
Брокер MQTT, используемый DroidBot, организован в определенные темы, которые классифицируют типы обмена сообщениями между зараженными устройствами и инфраструктурой C2. Эти темы функционируют как логические каналы, каждый из которых предназначен для определенного типа данных или инструкций, обеспечивая структурированный и эффективный поток информации. Для читателей, не знакомых с протоколом MQTT, темы представляют собой иерархические строки, которые организуют и маршрутизируют сообщения между издателями (отправителями) и подписчиками (получателями). Тема действует как «адрес» внутри брокера, определяя, куда должно быть доставлено сообщение. На следующем изображении вы можете увидеть фрагмент декомпилированного кода DroidBot, который раскрывает некоторые жестко закодированные темы, используемые вредоносным ПО.
Рисунок 3 — Частичный список тем MQTT, используемых в коммуникации DroidBot C2
Разделяя таким образом коммуникации, вредоносная программа упрощает обработку данных и обеспечивает определенную степень модульности, что потенциально упрощает адаптацию или расширение ее возможностей в будущих обновлениях. Фактически, в ходе нашего анализа мы также выявили несколько тем, которые, по-видимому, не используются активно вредоносной программой в настоящее время. К ним относятся applicationlog, pinsave и injectionlog.
Эти неиспользованные темы предполагают, что ТА могли запланировать дополнительные функции или зарезервировать эти каналы для будущих обновлений. Это еще раз подчеркивает эволюционную природу DroidBot и его потенциал для расширенных вредоносных возможностей с течением времени.
Для защиты своих коммуникаций с брокером MQTT DroidBot использует процедуру шифрования, которая скрывает передаваемые данные, что затрудняет их перехват или анализ без обратного проектирования. Процесс построения потока коммуникаций представлен на следующем рисунке:
Рисунок 4 — Данные MQTT: процедура шифрования
Подробности:
- Сериализация: текстовое сообщение сначала сериализуется в массив байтов с использованием кодировки UTF-8.
- Шифрование с помощью XOR: сериализованный массив байтов проходит через процедуру шифрования на основе XOR. Как показано во фрагменте кода, ключ шифрования выводится с использованием предопределенного шаблона (PO00000000000000000000L), который динамически изменяется в соответствии с длиной сообщения. Каждый байт сообщения подвергается операции XOR с соответствующим байтом повторяющегося шаблона, в результате чего получается зашифрованный массив.
- Сжатие (zlib): зашифрованный массив байтов дополнительно сжимается с использованием алгоритма сжатия zlib.
- Передача через MQTT: полученное сообщение затем публикуется брокеру через MQTT.
Рисунок 5 — Код дешифратора
Изучение коммуникации C2
DroidBot представляет пользовательскую процедуру расшифровки для расшифровки встроенных строк, содержащих информацию о сервере C2 и учетные данные для успешного подключения к брокеру MQTT. Процедура расшифровки довольно проста. Однако она опирается на четыре параметра, которые зависят от имени пакета, версии и имени, а также целого числа.
Рисунок 6 — Процедура расшифровки
Это отражает попытку сделать расшифровку строк менее простой. Однако после того, как будет собрана коллекция образцов, все равно понадобится анализатор приложений для извлечения всей релевантной информации.
Рисунок 7 — Расшифровка строк
Анализируя образец, ключевым словом, которое привлекло наше внимание, было инъекция. В сообщениях разработчиков на подпольных форумах можно было прочитать, что DroidBot был оснащен модулем ATS (автоматическая система передачи), который позволяет приложению выполнять полностью автоматизированное мошенничество против цели. Однако изучение сообщений MQTT и сбор информации об инъекции сделали невозможным наблюдение надлежащего движка ATS. Мы не можем исключить, что эта информация хранится на сервере и может быть отправлена через ботов-«кандидатов».
Целевые страны
Исследование инфраструктуры ТА также позволило нам получить список финансовых учреждений, на которые направлены эти кампании. Анализ национальности пользователей этих учреждений выявляет особенности в европейском регионе с акцентом на четыре страны: Францию, Италию, Испанию и Турцию.
Рисунок 8 — Целевые страны пользователей
Те же результаты получены при анализе файла вредоносной программы под названием security.html, который содержит страницу безопасности, предупреждающую пользователей о том, что «Приложение не может быть удалено по соображениям безопасности». В коде мы видим, что эта информация настроена для 4 основных языков: английский, итальянский, испанский и турецкий.
Рисунок 9 — Целевые языки пользователей
Дальнейшее расследование клиента MQTT выявило значительное количество зараженных французских пользователей, что подтвердило, что Франция является одной из целей кампании.
Раскрытие основных операций MaaS
Malware-as-a-Service (MaaS) — это бизнес-модель в мире киберпреступности, где авторы вредоносных программ предлагают свое вредоносное программное обеспечение и услуги другим киберпреступникам. Эта модель работает аналогично легитимным платформам Software-as-a-Service (SaaS), где клиенты могут подписаться на услугу и получить доступ к программному обеспечению, не разрабатывая и не поддерживая его самостоятельно. Создатели вредоносного ПО разрабатывают и поддерживают вредоносное программное обеспечение, предоставляя его «аффилированным лицам» или «операторам ботнетов», которые платят за доступ.При изучении инфраструктур командования и управления (C2) DroidBot и конфигураций вредоносного ПО были получены доказательства, указывающие на существование частной сети MaaS. Эта сеть работает со сложной структурой, позволяя «аффилированным лицам» или «операторам ботнета» получать доступ к DroidBot и его передовым возможностям.
Партнеры, форумы и предложения
Наши аналитики успешно извлекли исходный пост из известного русскоязычного хакерского форума, где предполагаемые авторы представили свое предложение MaaS. Этот пост, датированный 12 октября 2024 года, содержит критические идеи, используемые создателями DroidBot.
Рисунок 10 — Сообщение на форуме, рекламирующее нового Android-бота
Из этого поста мы можем извлечь следующую информацию:
- «Якобы» опытный разработчик вредоносного ПО: пользователь утверждает, что написал бота с нуля, что свидетельствует о передовых навыках разработки вредоносного ПО и опыте в этой области. Однако учетная запись форума, использованная для создания этого сообщения, не имеет репутации или истории на форуме, а ее регистрация датируется всего несколькими месяцами. Это несоответствие может вызвать вопросы о заявленной экспертизе и опыте.
- Комплексное предложение MaaS: пакет услуг включает шифровальщик (используется для сокрытия вредоносного ПО) и доступ к серверу, что указывает на инфраструктуру, помогающую филиалам избегать обнаружения и бесперебойно выполнять операции.
- Мощные функции Android, включая hVNC, позволяют удаленно управлять зараженными устройствами, скрывая их от жертвы. ATS (автоматизированная система передачи) также включена, но мы не нашли ничего, связанного с процедурой ATS или аналогичными подходами во время нашего расследования.
- Никаких ограничений в отношении стран СНГ не существует, что может свидетельствовать о том, что авторы не являются выходцами из региона СНГ.
В том же сообщении на форуме автор включил данные канала Telegram для тех, кто заинтересован в присоединении к группе в качестве партнеров. Этот канал предоставляет дополнительную информацию о функциях DroidBot и ежемесячной цене подписки в размере 3000 долларов. Threat Actors часто делятся скриншотами конкретных деталей в панели Command-and-Control (C2), предлагая потенциальным партнерам взглянуть на ее возможности.
Рисунок 11 — Содержимое официального канала Telegram
Распространение снимков экрана с партнерами или потенциальными участниками является обычным делом, особенно в закрытых группах. Однако всегда существует риск непреднамеренного раскрытия конфиденциальной информации. В одном конкретном случае общий снимок экрана непреднамеренно включал дату, время и информацию о погоде, что может иметь решающее значение для отслеживания происхождения операторов.
Рисунок 12 — Извлечение данных из скриншота
Язык операционной системы был установлен на турецкий, а сведения о погоде соответствовали погодным условиям в определенных регионах Турции в тот конкретный день, например, в столице Анкаре.
Еще одной убедительной информацией, полученной из канала Telegram, которая еще больше связывает группу с Турцией, является публикация конкретной ссылки 22 ноября 2024 года. В сообщении ссылки просто говорилось: «Проблема с сервером», как показано на скриншоте ниже.
Рисунок 13 — Оповещение от TR-CERT
Ссылка ведет на оповещение, выпущенное TR-CERT Usom (https://www.usom.gov.tr/), Группой реагирования на компьютерные чрезвычайные ситуации Республики Турция. В этом оповещении, как видно на снимке экрана, один из основных доменов, используемых группой (dr0id[.]best), был помечен как вредоносный и идентифицирован как потенциальная угроза финансовому сектору.
Домен dr0id[.]best лучше всего представил некоторые интересные данные, когда мы проанализировали связанную инфраструктуру и ее данные, связанные с DNS. Согласно связанным найденным поддоменам и конфигурациям вредоносного ПО, извлеченным из нескольких образцов, этот домен, по-видимому, потенциально связан с частной операцией MaaS (Malware-as-a-Service).
Рисунок 14 — Извлечение филиалов из конфигурации DroidBot
Мы реконструировали следующий список из 17 филиалов/ботнетов, указанных в «Приложении IOCs».
Более пристальный взгляд на один ботнет
Наши аналитики успешно перехватили трафик из определенного ботнета, связанного с DroidBot, на активном брокере MQTT, который оставался работоспособным в течение нескольких дней. Используя природу протокола MQTT в режиме реального времени, мы смогли получить доступ и расшифровать прямой поток коммуникаций ботнета. Это позволило нам извлечь ценную информацию и статистику относительно размера и географического распределения ботнета.
Рисунок 15 — Расшифрованное сообщение MQTT
Ниже мы представляем ключевые показатели, полученные в результате этого анализа:
| Метрическая | Ценить | Описание |
|---|---|---|
| Всего уникальных идентификаторов устройств | 776 | Общее количество отдельных зараженных устройств, выявленных в ботнете. |
| Страны, затронутые | Великобритания, Италия, Франция, Турция, Германия | Количество стран, из которых зараженные устройства подключались к брокеру MQTT. |
| Наиболее пострадавшая страна | Великобритания | Страна с наибольшим количеством зараженных устройств. |
Панель DroidBot C2
Наши аналитики получили видимость в связанной веб-панели C2, где TA могут управлять своим ботнетом. Следующая страница, например, предоставляет TA простой интерфейс для взаимодействия с определенным зараженным устройством, давая возможность:- Сбор действительных банковских учетных данных посредством инъекций (атака с наложением).
- Взаимодействуйте с телефонными звонками, принудительно прерывая разговор или перенаправляя определенный звонок на другой номер.
- Удаленный доступ к устройству через возможности VNC (с поддержкой «пустого экрана» для маскировки вредоносных действий).
- Отправка поддельных push-уведомлений
- Извлечение данных (например, SMS-сообщений, данных, перехваченных с помощью кейлоггера) и многое другое.
Рисунок 16 — Панель DroidBot C2
Панель C2 также включает в себя конструктор. Конструктор — это инструмент, который злоумышленники используют для автоматического создания настроенных версий вредоносного ПО. Он позволяет изменять ключевые настройки, такие как сервер управления и контроля (C2) или определенные функции, для создания уникальных сборок вредоносного ПО.
Конструктор особенно ценен в работе MaaS, поскольку он позволяет нескольким филиалам создавать персонализированные сборки вредоносного ПО. Филиалы могут корректировать конфигурации, добавляя гибкости в распространении, сохраняя при этом уникальность своих атак. Это значительно повышает масштабируемость и охват вредоносного ПО, поскольку каждый филиал может генерировать различные версии, что затрудняет обнаружение и защиту для разведывательных групп.
Рисунок 17 — Конструктор DroidBot
Заключение
Представленное здесь вредоносное ПО может не блистать с технической точки зрения, поскольку оно очень похоже на известные семейства вредоносных программ. Однако, что действительно выделяется, так это его операционная модель, которая очень напоминает схему Malware-as-a-Service (MaaS) — что нечасто встречается в этом типе угроз. Если вспомнить такие значимые случаи, как Sharkbot, Copybara или более позднюю Toxic Panda, то инфраструктура, код и планирование кампании были выполнены «внутри компании». Droidbot, с другой стороны, представляет собой хорошо известную, но не широко распространенную парадигму в ландшафте мобильных угроз. Как упоминалось ранее, хотя технические трудности не так уж велики, реальная проблема заключается в этой новой модели распространения и аффилированности, которая вывела бы мониторинг поверхности атаки на совершенно новый уровень. Это может быть критическим моментом, поскольку изменение масштаба такого важного набора данных может значительно увеличить когнитивную нагрузку. Если не поддерживать ее эффективно системой мониторинга в реальном времени, это может серьезно перегрузить команды по борьбе с мошенничеством в финансовых учреждениях.Приложение
IOCs
Пример DroidBot:| Хэш | Имя приложения |
|---|---|
| fe8d76ba13491c952f7dd1399a7ebf3c | Chrome |
| 2ce47ed9653a9d1e8ad7174831b3b01b | Chrome |
| e6f248c93534d91e51fb079963c4b786 | Google Play Store |
| 0137a72f0cb49a73e13b30c91845d42d | Chrome |
| 2f66f5bb7d3e8267b01cf1edfbf7384e | e-ifade |
Серверы C2:
| Домены |
|---|
| dr0id[.]best |
| k358a192.ala.dedicated.aws.emqxcloud[.]com |
| ie721f2d.ala.dedicated.aws.emqxcloud[.]com |
Аффилированный/ботнет:
| Имена | |
|---|---|
| client0 | zoouzz |
| azzouz | antrax |
| malankov | baykpriv |
| guilloit | mars |
| terror | gaspar |
| ro | bayk |
| rustbridge | turkfriendдруг турка |
| pussy1, pussy2, pussy3, pussy4, etc. | rustbridge2 |
| cms12 |
Приложения, нацеленные на вредоносное ПО
Отказ от ответственности. В наших стандартных отчетах TLP:WHITE мы обычно воздерживаемся от публикации подробных списков целевых приложений. Такая информация часто предоставляется отдельно финансовым CERT через отчеты TLP:AMBER для облегчения своевременного распространения среди связанных финансовых учреждений.Однако в этом случае мы сделали список целевых приложений общедоступным. Это решение было принято с учетом характера кампании, которая не является узконаправленной, а вместо этого затрагивает широкий спектр мобильных приложений, включая многие из наиболее известных банковских учреждений. Цель состоит в том, чтобы повысить осведомленность и способствовать быстрому обнаружению и смягчению последствий в финансовом секторе.
| Названия пакетов | |
|---|---|
| com.arkea.android.application.cmb | com.axabanque.fr |
| com.bancocajasocial.геолокация | com.bankinter.launcher |
| com.bbva.bbvacontigo | com.binance.dev |
| com.boursorama.android.clients | com.caisseepargne.android.mobilebanking |
| com.cajasur.android | com.cic_prod.плохой |
| com.cm_prod.bad | com.CredemMobile |
| com.fullsix.android.labanquepostale.accountaccess | com.grupocajamar.wefferent |
| com.kraken.trade | com.kubi.kucoin |
| com.kutxabank.android | com.latuabancaperandroid |
| com.lynxspa.bancopopolare | com.mediolanum.android.fullbanca |
| com.mootwin.natixis | com.ocito.cdn.activity.banquelaydernier |
| com.ocito.cdn.activity.creditdunord | com.okinc.okcoin.intl |
| com.okinc.okex.gp | co.mona.android |
| com.rsi | com.sella.BancaSella |
| com.targoes_prod.bad | com.tecnocom.cajalaboral |
| com.unicredit | com.vipera.chebanca |
| com.wrx.wazirx | es.bancosantander.apps |
| es.caixagalicia.activamovil | es.caixaontinyent.caixaontinyentapp |
| es.cecabank.ealia2103appstore | es.evobanco.bancamovil |
| es.ibercaja.ibercajaapp | es.lacaixa.mobile.android.newwapicon |
| es.openbank.mobile | es.pibank.клиенты |
| es.santander.Criptocalculadora | fr.banquepopulaire.cyberplus |
| fr.bred.fr | fr.creditagricole.androidapp |
| fr.lcl.android.customerarea | io.metamask |
| it.bcc.iccrea.mycartabcc | it.bnl.apps.banking |
| это.carige | it.copergmps.rt.pf.android.sp.bmps |
| it.creval.bancaperta | it.icbpi.mobile |
| it.nogood.container | это.popso.SCRIGNOapp |
| mobi.societegenerale.mobile.lappli | net.bnpparibas.mescomptes |
| net.inverline.bancosabadell.officelocator.android | posteitaliane.posteapp.appbpol |
| posteitaliane.posteapp.apppostepay | www.ingdirect.nativeframe |
| com.garanti.cepsubesi | tr.gov.turkiye.edevlet.kapisi |
| com.ykb.android | com.ziraat.ziraatmobil |
| com.pttfinans | com.fibabanka.Fibabanka.mobile |
| com.pozitron.iscep | com.mobillium.papara |
| com.vakifbank.mobile | com.ingbanktr.ingmobil |
| finansbank.enpara | com.denizbank.mobildeniz |
| tr.com.sekerbilisim.mbank | com.finansbank.mobile.cepsube |
| com.tmobtech.halkbank |
Источник
