Android Hizmet Olarak Kötü Amaçlı Yazılım “Coper” Bilgisayar Korsanlarına Özellikler Sunuyor

   Mart 8, 2024  Posted in CyberSecurityNews


Bilgisayar korsanlarına Gelişmiş Özellikler Sunan Hizmet Olarak Android Kötü Amaçlı Yazılım “Coper”

Exobot kötü amaçlı yazılım ailesinin soyundan gelen Coper kötü amaçlı yazılımı, ilk olarak Bancolombia'nın 'Personas' uygulamasının sahte bir versiyonu olarak dağıtıldı.

2022'ye hızlı bir şekilde ilerlendiğinde, kötü amaçlı yazılım keşfedildi ve aynı kötü amaçlı yazılımın hafif bir sürümü, yeraltı forumlarında “Octo Android botnet” adı altında tanıtıldı.

Ancak, kötü amaçlı yazılımın şu anda müşterilere kampanyaları yürütmek için kullanılan bir panele ve oluşturucuya erişim sağlayan bir hizmet olarak kötü amaçlı yazılım olarak sunulduğu tespit edildi.

Üstelik kötü amaçlı yazılım, tuş günlüğü tutma, anlık bildirimleri ve SMS mesajlarını yakalama ve virüslü cihazın ekranını kontrol etme yeteneğine sahiptir.

Hizmet Olarak Android Kötü Amaçlı Yazılım

Cyber ​​Security News ile paylaşılan raporlara göre, kötü amaçlı yazılımın evrimi, 2021 yılında Kolombiyalı Android kullanıcılarını, kurulum için kurbanlarda güven oluşturmak amacıyla meşru bankacılık uygulamalarının ve diğer uygulamaların kimliğine bürünme de dahil olmak üzere çeşitli taktikler kullanarak hedef almasıyla başladı.

Belge

Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN'u şirketinize entegre edin

Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:

  • Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
  • Linux'ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
  • Bir takımda çalışın
  • Maksimum veriyle ayrıntılı raporlar alın

    • Tüm bu özellikleri şimdi sandbox'a tamamen ücretsiz erişimle test etmek istiyorsanız: ..

Kötü amaçlı yazılım ayrıca sahte ekranlar veya katmanlar görüntüleyerek şifreler ve oturum açma kimlik bilgileri gibi hassas bilgileri çalıyor ve ayrıca gözetim yeteneklerini geliştirmenin bir yolu olarak etkilenen cihazlara uzaktan erişim için VNC'yi kullanıyor. Bu kötü amaçlı yazılımın hedefleri arasında Portekiz, İspanya, Türkiye ve ABD gibi ülkeler yer alıyor.

Kötü amaçlı yazılımın operatör bilgileri (Kaynak: Cymru)
Kötü amaçlı yazılımın operatör bilgileri (Kaynak: Cymru)

Kötü Amaçlı Yazılım Analizi

İlk C2 yetenekleri

Kimlik avı gibi herhangi bir sosyal mühendislik tekniği, kötü amaçlı yazılımın yayılmasına neden olur. Hedefin güvenliği aşıldığında, C2 ile iletişim kurulur ve yük (yapılandırma dosyası, parametreler ve diğerleri) kurbanın cihazına aktarılır.

Yük parametreleri arasında Block_Push_apps, istenen_apps, domains_bot, keylogger_enabled, injects_list ve daha pek çok şey bulunur.

Ek olarak smarts_ver yapılandırma alanı, enjeksiyon türü, enjeksiyon kimliği, özel enjeksiyonlar, Gmail, desen ve PIN gibi ek yük bilgilerini içeren bir Tablo aracılığıyla yönetilir.

Ayrıca kötü amaçlı yazılım, Erişilebilirlik dizini, Sahte kalıp, Gmail sahte ve URL yerleştirme gibi çeşitli eklemeleri de destekler.

Mağdur Kaydı ve Filtreleme

IMEI numarası, telefon modeli, Android sürümü, cihazın çalışma süresi vb. gibi etkilenen kurban cihaz bilgileri toplanıp bir SQL veritabanında depolanır ve C2 sunucusuna kaydedilir.

Cihaz kaydedildikten sonra kötü amaçlı yazılım, cihazla ilgili güncellemeleri günlük olarak C2 sunucusuna göndermeye devam eder. Her biri uygun şekilde kurulduğunda tehdit aktörü artık ek komutlar kullanarak cihazı kontrol edebilir.

Şifreleme/Kaçınma Tespiti

Kaçınma tekniğinin bir parçası olarak, kötü amaçlı yazılım, sabit kodlanmış bir RC4 anahtarı kullanılarak şifrelenir ve kötü amaçlı yazılımın izleri, REQUEST_COMPANION_RUN_IN_BACKGROUND ve REQUEST_COMPANION_USE_DATA_IN_BACKGROUND gibi belirli izinler kullanılarak gizlenir.

Bu izinler, kötü amaçlı yazılımın tespit edilmeden gölgelerde saklanmasına olanak tanır.

Kaçış kodu (Kaynak: Cymru)
Kaçış kodu (Kaynak: Cymru)

Uygulamadaki Yetenekler

Kötü amaçlı yazılımın işlevlerini analiz eden tuş kaydetme özelliği, kurbanın telefonunda yapılan her tuş vuruşunu günlüğe kaydeder ve etkin olup olmadığını kontrol etmek için tuş kaydedicinin durumu da sıklıkla doğrulanır.

Keylogging bilgisi cihazın veri dizini içindeki bir dosyada saklanır.

Ancak dosya tamamen okunduktan sonra silinir.

Enjekte eder

Enjeksiyonlar başlangıçta botta yapılandırılır ve daha sonra C2 panelinden değiştirilebilir.

Üstelik bu enjeksiyonlar, virüs bulaşmış bir cihazın ekran şifresini veya PIN'ini almak ve cihaza uzaktan erişim ve yönetimi sağlamak için de kullanılabilir.

VNC

VNC, tehdit aktörlerinin bankacılık hizmetlerini veya uygulamalarını ve tehdit aktörünün ilgilendiği web sitelerini yakalamak için etkilenen cihazların ekranını görüntülemesine ve kaydetmesine olanak tanır.

Bu, tehdit aktörlerinin daha önce bahsettiğimiz diğer işlevler dışında kullanabileceği bir alternatiftir.

SMS Mesaj Etkileşimi

Bu, kötü amaçlı yazılımın SMS mesajlaşma hizmetleriyle etkileşime girmesine olanak tanıyan ve kötü amaçlı yazılımın cihaz içindeki mesajları engellemesine, okumasına ve göndermesine olanak tanıyan son yeteneğidir.

Ancak her özellik gibi bu özelliğin de gerekli izinlerin sağlanması gerekiyor.

C2 Altyapısına Genel Bakış ve İstatistikler

Gözlemlenen bir veri yükü ve bir IP adresinden Wireshark, Triage ve CyberChef gibi çeşitli araçlar kullanılarak birkaç adımlık şifre çözme işleminin ardından, C2 sunucusuyla iletişim arasında çeşitli şifreleme seviyelerinin olduğunu belirten C2 altyapısı hakkında bilgi elde edildi.

Analiz edilen iletişimlerden biri, kurban cihazlardan birine gönderilen yükün Facebook uygulamasını taklit ettiğini ve kullanıcıdan kötü amaçlı yazılım botunun tam olarak çalışması için gereken Erişilebilirlik Hizmeti izinlerini etkinleştirmesini istediğini belirtti.

Daha ileri analizler, tümü benzer X.509 sertifikalarına sahip olan 84 başka C2 sunucu IP'sinin daha bulunduğunu ortaya çıkardı.

Ayrıca tehdit aktörlerinin altyapılarını taşıdığını gösteren kanıtlar da vardı.

45.000 bot bulundu ve yaklaşık 700.000 SMS mesajı onlar tarafından ele geçirildi.

Coper kötü amaçlı yazılımının C2 Altyapısı (Kaynak: Cymru)
Coper kötü amaçlı yazılımının C2 Altyapısı (Kaynak: Cymru)

Uzlaşma Göstergeleri

  • https://karmelinanoonethousandbaby[.]net/YzI4MGFhZjI2MmM5/
  • https://185.198.69[.]111/NTBiZmM4ZDQ2MWY2/
  • https://2.57.149[.]150/ZTIwNDEzZjM4YjYw/
  • https://2istanbullu2586[.]xyz/ZTIwNDEzZjM4YjYw/
  • https://83.97.73[.]195/MzZhMGJjZTJkOGI3/
  • https://o3c31x4fqdw2[.]lt/MTU2OWE0NzJjNGY5/
  • https://0n75w55jyk66[.]pw/MTU2OWE0NzJjNGY5/
  • https://91.240.118[.]224/NjQyNDcyMjE3ZWU3/
  • https://sanagerekkalmaz1453[.]mağaza/MTFiMzQ4NGQ2MWU4/
  • https://185.122.204[.]122/MDViMDU3NDYwMTBm/

Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.





Source link