Cyble araştırma ekibi tarafından “Antidot” olarak adlandırılan, Google Android cihazlarını etkileyen bir bankacılık Truva atı, kendisini bir Google Play güncellemesi olarak gizleyerek ortaya çıktı.
kötü amaçlı yazılım sahte Google Play güncelleme sayfalarını Almanca, Fransızca, İspanyolca, Rusça, Portekizce, Romence ve İngilizce dahil olmak üzere birçok dilde görüntüleyerek bu bölgelerdeki potansiyel hedefleri belirtir.
Antidot, oturum açma kimlik bilgileri gibi hassas bilgileri verimli bir şekilde toplamak için katman saldırıları ve tuş kaydetme tekniklerini kullanır.
Yer paylaşımlı saldırılar, meşru uygulamaları taklit eden sahte arayüzler oluşturarak kullanıcıları bilgilerini girmeleri için kandırırken, tuş kaydı kullanıcı tarafından yapılan her tuş vuruşunu yakalayarak kötü amaçlı yazılımın şifreler ve diğer hassas girişler dahil olmak üzere kapsamlı verileri toplamasını sağlar.
Cyble’ın Android kötü amaçlı yazılım araştırmacısı Rupali Parate, Antidot kötü amaçlı yazılımının çalışması için bir “Erişilebilirlik” hizmetinden yararlandığını açıklıyor.
Kurulduktan ve kurban tarafından izin verildikten sonra, komutları almak için komuta ve kontrol (C2) sunucusuyla iletişim kurar. Sunucu, devam eden iletişim için cihazı bir bot kimliğiyle kaydeder.
Kötü amaçlı yazılım, hedef uygulamaları tanımlayan yüklü uygulama paketi adlarının bir listesini sunucuya gönderir.
“Enfekte Olmuş Cihazlar Üzerinde Önemli Kontrol”
Bir hedef belirlendikten sonra sunucu, mağdur gerçek uygulamayı açtığında ona görüntülenen bir yer paylaşımlı enjeksiyon URL’si (bir HTML kimlik avı sayfası) gönderir.
Kurbanlar bu sahte sayfaya kimlik bilgilerini girdiklerinde, keylogger modülü verileri C2 sunucusuna ileterek kötü amaçlı yazılımın kimlik bilgilerini toplamasına olanak tanır.
“Antifot’u diğerlerinden ayıran şey, WebSocket’i kullanarak iletişimi sürdürmesidir. [C2] Parate şöyle diyor: “Bu, komutların yürütülmesi için gerçek zamanlı, çift yönlü etkileşime olanak tanıyor ve saldırganlara virüslü cihazlar üzerinde önemli bir kontrol sağlıyor.”
Antidot tarafından yürütülen komutlar arasında SMS mesajlarının toplanması, yapılandırılmamış tamamlayıcı hizmet verileri (USSD) isteklerinin başlatılması ve kamera ve ekran kilidi gibi cihaz özelliklerinin uzaktan kontrolü yer alıyor.
Kötü amaçlı yazılım ayrıca, virüslü cihazların uzaktan kontrolünü sağlamak için MediaProjection’ı kullanarak VNC’yi uygulayarak tehdit potansiyelini daha da artırıyor.
Parate, virüs bulaşmış uzaktan kumandalı sanal ağ bilgi işlem (VNC) cihazlarının bilgisayar korsanlarının eksiksiz bir dolandırıcılık zinciri yürütmesine olanak tanıdığını açıklıyor.
“Gerçek zamanlı etkinlikleri izleyebilir, yetkisiz işlemler gerçekleştirebilir, özel bilgilere erişebilir ve sanki cihazı fiziksel olarak tutuyorlarmış gibi cihazı yönetebilirler” diyor. “Bu yetenek, kurbanın mali kaynaklarını ve kişisel verilerini kullanma potansiyellerini en üst düzeye çıkarıyor.”
Android bankacılık Truva atlarının ortaya çıkışının önemli bir tehdit oluşturduğunu, çünkü geleneksel güvenlik önlemlerini aşabildiklerini, kullanıcı güvenini suiistimal edebildiklerini ve kişisel ve finansal bilgilere kapsamlı erişim sağlayabildiklerini ekliyor.
Parate, “Bu Truva atları arka planda sessizce çalışarak hassas verileri sürekli olarak dışarı sızdırırken tespit edilmelerini zorlaştırıyor ve bu da ciddi mali ve gizlilik ihlallerine yol açıyor” diyor.
Çok Yönlü Saldırılara Yönelik Trend
Parate, bu Truva atlarının gelişmiş gizleme teknikleri, gerçek zamanlı C2 iletişimi ve uzaktan kontrol için yer paylaşımlı saldırıları, keylogging ve VNC’yi birleştirmek gibi çok katmanlı saldırı stratejileri yoluyla daha karmaşık hale geldiğini söylüyor.
“Antidot Truva Atı, mobil kötü amaçlı yazılımların daha gelişmiş ve hedefe yönelik hale geldiğini gösteriyor. Sistem özelliklerinden ve kullanıcı güveninden yararlanan çok yönlü saldırılara doğru bir eğilim olduğunu gösteriyor” diye açıklıyor.
Gerçek zamanlı iletişim ve uzaktan kontrol yeteneklerinin kullanılmasının, daha etkileşimli ve kalıcı tehditlere doğru bir geçiş anlamına geldiğini ekliyor.
Parate, “Bu evrim, giderek karmaşıklaşan mobil kötü amaçlı yazılımlarla mücadele etmek için gelişmiş güvenlik önlemlerine ve kullanıcı farkındalığına olan ihtiyacın altını çiziyor” diyor.
Bankacılık Truva atları devam ediyor küresel olarak çoğalmakI dahil ederek Godfather mobil bankacılık Truva Atı, İlk olarak 2022’de keşfedilen ve şu anda 57 ülkeye yayılmış 237 bankacılık uygulamasını hedefleyen GoldDigger kötü amaçlı yazılımı, Vietnamlı kuruluşları hedef alıyor.