CRIL Araştırmacıları, yeni bir Android bankacılık truva atı ‘Brokewell’in, resmi Chrome güncelleme sayfası olarak gizlenen bir kimlik avı sitesi aracılığıyla dağıtıldığını gözlemledi.
Kötü amaçlı Android Bankacılık Truva Atı, ekran kaydetme, tuş kaydetme ve 50’den fazla farklı uzaktan komut gibi çeşitli işlevlerle donatılmıştır.
Daha ayrıntılı bir incelemenin ardından araştırmacılar, truva atının izini, truva atının Android işletim sisteminin en son sürümlerindeki izin kısıtlamalarını aşabildiğini belirten geliştiricisine kadar takip edebildiler.
Android Bankacılık Truva Atı’nın Arkasındaki Geliştiricinin Diğer Casus Yazılım Araçlarını Dağıttığı Bulundu
CRIL araştırmacıları truva atının “hxxp://makingitorut” alanı aracılığıyla dağıtıldığını tespit etti[.]Kendisini resmi Chrome güncelleme web sitesi olarak gizleyen ve birçok çarpıcı benzerlik taşıyan “.com”.
Site, kullanıcıyı bir güncellemenin gerekli olduğunu düşünerek aldatıyor ve bunun “tarayıcınızı güvence altına almak ve önemli güvenlik açıklarını düzeltmek için” gerekli olduğunu tanımlıyor. Sitede yer alan indirme butonu, kullanıcıların kötü amaçlı “Chrome.apk” APK dosyasını sistemlerine indirmelerine yol açıyor.
İnceleme sonucunda indirilen APK dosyasının, telefon verilerini toplama, çağrı geçmişini toplama, cihaz ekranını uyandırma, konum toplama, çağrı yönetimi, ekran ve ses kaydetme gibi 50’den fazla farklı uzaktan komutla birleştirilmiş yeni bir android bankacılık truva atı olduğu keşfedildi.
Truva atı, “mi6” aracılığıyla çalışan bir uzaktan komut ve kontrol (C&C) sunucusu aracılığıyla iletişim kurdu.[.]geri tepme operasyonu[.]ru” alan adında ve “91.92.247” IP adresinde barındırılmaktadır.[.]182”.
Kötü amaçlı yazılım ayrıca, Android 13, 14 ve 15 sürümlerindeki izne dayalı kısıtlamaları aşabildiği açıklanan bir git deposuyla da bağlantılıydı. Git deposunda yeraltı forumlarındaki profillere bağlantılar, bir Tor sayfası ve bir Tor sayfası yer alıyordu. Telegram kanalı.
Tor sayfası, kötü amaçlı yazılım geliştiricilerinin kendilerini tanıtmak için adımlar attıkları kişisel sayfasına yönlendirildi ve dama, doğrulayıcı, hırsız ve fidye yazılımı gibi geliştirdikleri diğer çeşitli projelerin listelendiği bir siteye bağlantı verdi. CRIL araştırmacıları sitede Android bankacılık truva atına ilişkin herhangi bir ibare gözlemlemediğinden, truva atının çok yeni bir gelişme olduğu ve önümüzdeki günlerde listelenebileceği varsayılıyor.
Android Bankacılık Truva Atı “Brokewell”in Teknik Özellikleri
Araştırmacılar, Brokewll Bankacılık Truva Atı’nın muhtemelen geliştirme sürecinin ilk aşamalarında olduğunu ve bu nedenle dönem boyunca sınırlı işlevlere sahip olduğunu belirtiyor. Mevcut saldırı teknikleri öncelikle ekran yer paylaşımı saldırısını, ekran/ses yakalamayı veya tuş günlüğü tutma tekniklerini içerir. Ancak araştırmacılar, Android bankacılık truva atının gelecekteki sürümlerinin ek özellikler içerebileceği konusunda uyarıyor.
Kötü amaçlı yazılımın, ana sistemin root edilip edilmediğini belirlemek için önleyici bir kontrol yaptığı gözlemlendi. Bu aşama, bir kök kontrol uygulamasının, ağ trafiği analiz aracının ve bir .apk ayrıştırma aracının paket adlarının kontrol edilmesini içerir.
Cihazın root edilmediği tespit edildikten sonra normal yürütmeye devam edilir ve öncelikle kurbandan erişilebilirlik izinleri istenir. Erişilebilirlik hizmeti daha sonra uygulamaya “Diğer uygulamalar üzerinde görüntüleme” “Bilinmeyen kaynaklardan yükleme” gibi diğer izinleri vermek için kötüye kullanılır.
Uygulama, izinlerin alınmasının ardından kullanıcıdan Almanca yerelleştirmeli sahte PIN ekranı üzerinden cihaz pinini girmesini istiyor. PIN daha sonra kullanılmak üzere bir metin dosyasına kaydedilir. Almanya yerelleştirmesi ve Almanya bölgesinden VirusTotal’a yüklenen kötü amaçlı yazılımın çeşitli örnekleri, araştırmacıların bunun esas olarak Almanya’yı hedeflediğine inanmalarına yol açıyor.
Almanca’nın yanı sıra Çince, Fransızca, Fince, Arapça, Endonezce, İsveççe, Portekizce ve İngilizce dillerinde de çeşitli dizeler tespit edildi. Bu dizeler, kötü amaçlı yazılımın ek özellikler içeren sonraki yinelemelerin ortaya çıkmasıyla hedeflerini genişletebileceğini gösteriyor.
Araştırmacılar, aracın yer altı forumlarında ve kötü amaçlı yazılım geliştiricisinin ürün portalı aracılığıyla tanıtımının artacağını öngörüyor; bu da bankacılık truva atlarının ilerleyen aşamasının ve bu tür gelişmelerin sürekli izlenmesi ihtiyacının altını çiziyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.