Yeni bir Android bankacılık kötü amaçlı yazılımı, kimlik bilgileri hırsızlığı ve kullanıcı gözetimi gibi daha tipik etkinliklerin yanı sıra fidye yazılımı saldırıları da başlatabilir.
“deVixor” uzaktan erişim truva atı (RAT), Cyble araştırmacıları tarafından yeni bir blog yazısında ayrıntılı olarak açıklandı. Şimdilik İranlı bankacılık kullanıcılarına odaklanan kötü amaçlı yazılım geliştiricisinin aktif Telegram kanalı, kötü amaçlı yazılımın sonunda daha geniş bir kullanım alanı bulabileceğini öne sürüyor.
Cyble’ın belirttiği gibi, “Kanalın büyüyen abone tabanı, deVixor’un kısa ömürlü bir operasyondan ziyade devam eden bir suç hizmeti olarak sürdürüldüğü ve dağıtıldığı değerlendirmesini daha da destekliyor.”
Araştırmacılar, “DeVixor, modern Android bankacılık kötü amaçlı yazılımlarının, uzun vadede cihazların güvenliğini tehlikeye atabilen ve mali suiistimali kolaylaştırabilen, ölçeklenebilir, hizmet odaklı bir suç platformuna nasıl dönüştüğünü gösteriyor” diye ekledi.
Android Bankacılık Kötü Amaçlı Yazılımı DeVixor’un Birçok Yeteneği
DeVixor kampanyası Ekim ayından bu yana aktif olup, kullanıcıları kötü amaçlı APK dosyalarını indirmeye teşvik etmek için büyük indirimler vaat eden meşru otomotiv işletmeleri gibi davranan kimlik avı web siteleri aracılığıyla İranlı kullanıcıları hedef alıyor.
Cyble, 700’den fazla örnek üzerinde yaptığı analizin “tehdit aktörünün Telegram tabanlı altyapıyı kullanarak, merkezi kontrol, hızlı güncellemeler ve sürekli kampanya evrimi sağlayan bir kitlesel enfeksiyon kampanyası yürüttüğünü yüksek bir güvenle gösterdiğini” söyledi.
DeVixor, temel SMS toplama işleminden banka dolandırıcılığı, kimlik bilgileri hırsızlığı, fidye yazılımı ve cihaz gözetimini tek bir platformdan sunan tam özellikli bir RAT’a dönüştü.
Android bankacılık kötü amaçlı yazılımı, komut dağıtımı için Firebase’i ve yönetim için Telegram tabanlı bir bot altyapısını kullanıyor ve “saldırganların enfeksiyonları geniş ölçekte yönetmesine ve geleneksel algılama mekanizmalarından kaçmasına olanak tanıyor.”
Temel olarak kimlik bilgileri toplamaya ve bankacılıkla ilgili SMS mesajlarını toplamaya odaklanan ilk sürümlerden geliştirilen kötü amaçlı yazılım, hızla gelişti; bankacılıkla ilgili katman saldırıları, tuş kaydetme, fidye yazılımı saldırıları, Google Play Koruma atlama teknikleri ve Android’in Erişilebilirlik Hizmetinin kötüye kullanılması eklendi.
RAT, komutları vermek için Telegram bot tabanlı bir yönetici paneli kullanıyor ve dağıtılan her APK’ya, yerel port.json dosyasında saklanan benzersiz bir Bot Kimliği atanıyor; bu, operatörün bireysel cihazları izlemesine ve kontrol etmesine olanak tanıyor. Cyble, kötü amaçlı yazılımın yürütebileceği yaklaşık 50 komutu listeledi.
DeVixor, OTP’leri, hesap bakiyelerini, kart numaralarını ve bankalardan ve kripto para borsalarından gelen mesajları toplayabilir. WebView tabanlı bir JavaScript enjeksiyonunun içine yasal bankacılık sayfalarını yükleyerek bankacılık kimlik bilgilerini yakalar.
Kötü amaçlı yazılım ayrıca tüm cihaz bildirimlerini toplayabilir, tuş vuruşlarını yakalayabilir, kaldırmayı önleyebilir, varlığını gizleyebilir, kişileri toplayabilir ve ekran görüntüleri alabilir.
Araştırmacılar, “Android bankacılık kötü amaçlı yazılımları, temel kimlik bilgisi toplama tehditlerinin çok ötesine geçerek kalıcı, hizmet odaklı suç operasyonları olarak sürdürülen karmaşık uzaktan erişim araç setlerine dönüştü” dedi.
Cyble, “Modüler komuta mimarisi, kalıcı konfigürasyon mekanizmaları ve aktif bir geliştirme döngüsünün tümü, deVixor’un yalıtılmış bir kampanya değil, sürdürülebilir ve genişletilebilir bir suç hizmeti olduğunu gösteriyor” dedi.
Android Fidye Yazılımı
Araştırmacılar, Android bankacılık kötü amaçlı yazılımının ayrıca “cihazları kilitleyebilen ve kripto para birimi ödemeleri talep edebilen, uzaktan tetiklenen bir fidye yazılımı modülü” içerdiğini söyledi.
RANSOMWARE komutu yayınlandıktan sonra kötü amaçlı yazılım, fidye notu, TRON kripto para birimi cüzdan adresi ve fidye talebi dahil olmak üzere saldırganın sağladığı parametreleri alır.
Ayrıntılar yerel olarak, cihazın yeniden başlatılması sırasında fidye yazılımı bulaşmasını koruyan LockTouch.json adlı bir dosyada depolanır. Tehdit aktörünün Telegram kanalında yayınlanan ekran görüntülerine göre deVixor, kurbanın cihazını kilitler ve saldırganın TRON cüzdan adresiyle birlikte “Cihazınız kilitli. Kilidi açmak için para yatırın” fidye mesajını görüntüler.
Kötü amaçlı yazılım ayrıca kurban durumunu ve taleplere uygunluğu izlemek için cihaz tanımlayıcıları ve fidyeyle ilgili ayrıntıları komuta ve kontrol (C&C) sunucusuna gönderir.