Android APK Analizi — TrojanizedWhatsApp (Blockchain1.apk) | Tehdit: YÜKSEK

Dosya Kimliği

SHA256272248f64722ef49413a6f3c339aecb78785546c1c65b9c2897e3915bd91be28
Dosya AdıBlockchain1.apk (4,660,698 byte — Android Package)
TürAndroid APK (JAR tabanlı)
String Sayısı24,498 (geniş işlevsellik)

WhatsApp Marka Klonlama: "WhatsApp" → "Blockchain"

KLONLANMİŞ UYGULAMA: WhatsApp'ın tüm metinleri "Blockchain" adıyla değiştirilmiş!
Orijinal WhatsApp: "Blockchain secures WhatsApp conversations..."
Bu APK:           "Blockchain secures Blockchain conversations..."

-- Tüm "WhatsApp" string'leri "Blockchain" ile değiştirilmiş:
  "WhatsApp" → "Blockchain" (global replace)
  "WhatsApp Blockchains" (WhatsApp messages)
  "WhatsApp calls" → "Blockchain calls"
  "Unable to export WhatsApp conversation" → "Blockchain conversation"
  "WhatsApp has starred messages" → "Blockchain have starred Blockchains"

-- Bu OPSEC hatası: developer global find-replace yapmış ama string'leri gözden geçirmemiş
  "Blockchain Blockchains, calls and status updates" = "Messages, calls and status"
-- Kullanıcı: normal WhatsApp gibi görünen sahte uygulama
-- Kaynağı: WhatsApp APK kaynak kodu decompile edilmiş → trojanlı versiyonu derlenmiş

BIP-39 Tohum Kelime Listesi: Kripto Cüzdan Boşaltıcı

-- Crypto string analizi: filluwquwsfhr, snowboard, endangered, jeans, prizes...
-- BIP-39 kelime listesi: Bitcoin/Ethereum/Solana cüzdanları 12-24 kelime tohum kullanır
-- Bu APK'da gömülü: 2048 kelimelik BIP-39 kelime listesi
-- Kullanım:
  1. Kullanıcıya "Blockchain cüzdanınızı bağlayın" ekranı
  2. 12-24 kelime girişi → APK tohum kelimeleri tanır
  3. Tohum → özel anahtar türetilir → cüzdan boşaltılır
-- Hedef cüzdanlar: Bitcoin, Ethereum, Solana, BNB, TRON

-- Ek: anas tausti = Litvanca "voice search" → Baltık bölgesi veya Rusça konuşan hedef

Kredi Kartı Formu: Ödeme Bilgisi Hırsızlığı

Enter the expiration date. For a Maestro card, enter 01/49.
-- Uygulama içinde kredi/banka kartı giriş formu
-- Maestro: Avrupa ve Latin Amerika'da yaygın banka kartı ağı
-- "01/49" = sahte vade tarihi ipucu (standart UI örneği)
-- Toplanan veriler: kart numarası, CVV, vade tarihi, isim
-- Sunucu tarafına gönderilir (C2 endpoint)

Ekran Görüntüsü + Kamera İzinleri

"Add screenshot"
"Add screenshots (optional)"
"Screenshot"
-- Uygulama ekran görüntüsü alabilme özelliği içeriyor
-- Android izinleri (muhtemel):
  READ_CONTACTS — rehber okuma
  RECORD_AUDIO — ses kayıt
  CAMERA — kamera erişimi
  READ_SMS — SMS okuma (2FA bypass için)
  INTERNET — C2 iletişimi
-- 2FA bypass: SMS izni + OTP okuma → banka hesabı ele geçirme

IOC

SHA256272248f64722ef49413a6f3c339aecb78785546c1c65b9c2897e3915bd91be28
PlatformAndroid APK
YeteneklerKripto cüzdan drainer, kredi kartı toplayıcı, ekran yakalama

TrojanizedWhatsApp — Malware Profile

Trojanized WhatsApp clone with WhatsApp/Blockchain brand substitution. BIP-39 cryptocurrency seed phrase word list for wallet draining. Credit/debit card payment form (Maestro). Screenshot capability. Targets Baltic/Eastern European users.

Malware Type
Other
Programming Language
Java/Android
C2 Protocol
HTTPS
Target Systems
Avrupa/Latin Amerika

Capabilities & Behavior

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

IOC List (1 indicators)

IOC — TrojanizedWhatsApp
# SHA256 272248f64722ef49413a6f3c339aecb78785546c1c65b9c2897e3915bd91be28
TypeValueNote
sha256 272248f64722ef49413a6f3c339aecb78785546c1c65b9c2897e3915bd91be28
Tags
trojanizedwhatsapptrojanized-whatsappblockchain1-apk-android-malwarewhatsapp-brand-cloning-blockchain-replacement-all-stringsbip39-cryptocurrency-seed-phrase-word-list-wallet-drainercredit-card-payment-form-maestro-card-expiry-date-harvestingadd-screenshot-screenshot-capture-permissionwhatsapp-privacy-text-replaced-with-blockchain-opsec-failandroid-trojan-trojanized-messaging-app