Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç
Kötü Amaçlı Yazılım, Katmanlı Saldırılara ve Tehlikeye Atılmış Cihazlara Uzaktan Erişime Olanak Sağlıyor
Prajeet Nair (@prajeetskonuşuyor) •
1 Ağustos 2024
Yeni keşfedilen bir uzaktan erişim Truva atı, öncelikle enfekte olmuş cihazlarda para transferi başlatmak için Android kullanıcılarına saldırıyor, ancak ek bir yeteneği daha var: İşi bittiğinde enfekte olmuş cihazı silebilir.
Ayrıca bakınız: Siber Kurtarma Rehberinizi Nasıl Oluşturursunuz
Güvenlik firması Cleafy, Mayıs ayında BingoMod adını verdiği daha önce keşfedilmemiş bir Android RAT’ı analiz ettiğini söyledi. Uygulama meşru bir mobil güvenlik aracı gibi görünüyor. BingoMod yüklendikten sonra kullanıcıdan kendisine erişim izni vermesini istiyor AccessibilityServicesgeliştiricilerin uygulamaları engelli kullanıcılara uyarlamasına olanak sağlamak için tasarlanmış, sıklıkla kötüye kullanılan bir işletim sistemi özelliği. Bu özellik, uygulamalara çok çeşitli üst düzey izinler vererek, bilgisayar korsanlarının hassas verileri ele geçirmesine olanak tanır. Kullanıcı uyarsa, uygulama kötü amaçlı yükünü etkinleştirir.
BingoMod, kullanıcı kimlik bilgilerini ele geçirmek için tuş kaydı ve SMS müdahalesi kullanarak arka planda gizlice çalışır. Saldırganlar cihazın kontrolünü ele geçirdikten sonra yetkisiz para transferleri başlatırlar.
Kötü amaçlı yazılım, VNC benzeri işlevselliği kullanarak üst katman saldırıları ve tehlikeye atılmış cihazlara uzaktan erişim sağlayan özelliklerle donatılmıştır. Başarılı bir sahtekarlık transferinden sonra, BingoMod genellikle enfekte cihazı siler ve adli soruşturmaları engellemek için etkinliğinin tüm izlerini kaldırır.
Cleafy’nin araştırması BingoMod’un İngilizce, Romence ve İtalyanca dillerini kullanan cihazları hedef aldığını ortaya çıkardı. Kötü amaçlı yazılımın kodu, geliştiricilerin Romence konuşanlar olabileceğini ima eden yorumlar içeriyor.
BingoMod, tehdit aktörlerinin doğrudan enfekte cihazlardan ATO gerçekleştirmesine olanak tanıyan mobil cihazlar için modern nesil RAT’ların bir parçasıdır.
Ayrıca, para transferlerinin canlı operatörler tarafından yetkilendirilmesi zorunluluğu da kötü amaçlı yazılımın ölçeklenebilirliğini sınırlandırıyor.
Kötü amaçlı yazılım, tehdit aktörlerinden komut almak için komut ve kontrol altyapısıyla soket tabanlı bir bağlantı kuruyor ve tehdit aktörlerinin gerçek zamanlı ekran kontrolü ve ekran gezintisi de dahil olmak üzere yaklaşık 40 uzaktan işlem gerçekleştirmesini sağlıyor.
BingoMod, üst üste binen saldırılar ve sahte bildirimler aracılığıyla kimlik avı saldırıları gerçekleştirebilir. Bu üst üste binen saldırılar, belirli hedef uygulamalar açıldığında tetiklenmek yerine doğrudan kötü amaçlı yazılım operatörü tarafından başlatılır. BingoMod ayrıca, kötü amaçlı yazılımı daha da yaymak için tehlikeye atılan cihazdan SMS mesajları gönderebilir.
BingoMod, kendini korumak için cihazda sistem ayarlarını düzenleme sürecini zorlaştırır. Belirli uygulamaların işlevselliğini kısıtlar ve gerekirse diğer uygulamaları bile kaldırabilir.