Android Kötü Amaçlı Yazılım, Chrome Tarayıcının SMS Okuduğunu Taklit Ediyor

   Ekim 25, 2023  Posted in GBHackers


Tehdit aktörleri öncelikle aldatıcı taktikler kullanarak mağdurların cihazlarına uzaktan erişim ve kontrol sağlamayı hedefliyor. Kullanıcıları kötü amaçlı yazılım indirmeleri için kandırmak amacıyla genellikle sahte uygulamalar oluşturur veya meşru uygulamalarmış gibi davranırlar ve hedeflenen cihazların güvenliğini ve gizliliğini tehlikeye atarlar.

Bu yaklaşım, yetkisiz erişim elde etmelerine, potansiyel olarak hassas bilgileri çalmalarına veya diğer kötü amaçlı faaliyetleri gerçekleştirmelerine olanak tanır.

K7 Güvenlik Laboratuarlarındaki siber güvenlik araştırmacıları kısa süre önce, SMS okumak ve e-postalara müdahale etmek için Chrome tarayıcısı görünümüne bürünen gizli bir Android kötü amaçlı yazılım olan Rusty Droid RAT’ı tespit etti.

Kötü amaçlı yazılım ‘Chrome’ gibi görünüyor

Teknik Analiz

Rusty Droid, kullanıcıdan Erişilebilirlik Hizmetini etkinleştirmesini defalarca isteyip, onaylandıktan sonra simgesini uygulama çekmecesinden gizleyerek ısrar ediyor.

Erişilebilirlik izni talebi (Kaynak – K7 Security Labs)

Rusty Droid kötü amaçlı yazılımı, C2’ye bağlanmadan önce aşağıdaki verileri toplar:

  • İletişim bilgileri
  • Hesaplar
  • Uygulama listesi

Erişilebilirlik izinleriyle, ‘LqL.json’un şifresini yürütülebilir bir DEX dosyasına çözer ve ‘settings.xml’ dosyasını C2 sunucusu IP’si ve bot kimliğiyle dağıtır.

Bu Truva Atı, Android Erişilebilirlik Hizmetini bir keylogger olarak kötüye kullanıyor, kurbanların şifreleri, kredi kartı bilgileri ve mesajları gibi verilerini çalıyor ve bunları kimlik hırsızlığı ve dolandırıcılık için siber suçlulara gönderiyor ve C2 sunucusu “176.111.174” ile bağlantı kuruyor.[.]191.

Kötü Amaçlı C2 Paneli (Kaynak – K7 Güvenlik Laboratuvarları)

Bu kötü amaçlı yazılım, hedeflenen programların bir listesini almak için bir kontrol sunucusuna bağlanarak, kripto para birimi cüzdanı tohum ifadeleri de dahil olmak üzere oturum açma bilgilerini çalmak için bu uygulamalarla kullanıcı etkileşimi sırasında tuş vuruşlarını toplayabilir.

Hedeflenen Uygulamalar

Aşağıda hedeflenen tüm uygulamalardan bahsettik:

  • com.android.vending
  • ar.bapro
  • ar.com.santander.rio.mbanking
  • ar.makro
  • at.spardat.bcrmobile
  • at.volksbank.volksbankmobile
  • au.com.amp.myportfolio.android
  • au.com.bankwest.mobile
  • au.com.cua.mb
  • au.com.ingdirect.android
  • au.com.macquarie.banking
  • au.com.mebank.banking
  • au.com.newcastlekalıcı
  • au.com.suncorp.SuncorpBank
  • com.BOQSecure
  • com.BankAlBilad
  • com.CredemMobile
  • com.EurobankEFG
  • com.IngDirectAndroid
  • com.a2a.android.burgan
  • com.abnamro.nl.mobile.payments
  • com.adcb.bank
  • com.advantage.RaiffeisenBank
  • com.akbank.android.apps.akbank_direkt
  • com.anz.android.gomoney
  • com.aol.mobile.aolapp com.appfactory.tmb
  • com.bancodebogota.bancamovil
  • com.bancomer.mbanking
  • com.bancsabadell.wallet
  • com.bankaustria.android.olb
  • com.bankinter.launcher
  • com.bankinter.portugal.bmb
  • com.bankofqueensland.boq
  • com.barclays.android.barclaysmobilebankacılık
  • com.barclays.ke.mobile.android.ui
  • com.bbva.bbvacontigo
  • com.bbva.netcash
  • com.bbva.nxt_peru
  • com.bcp.bank.bcp
  • com.bendigobank.mobile
  • com.boubyanapp.bobyan.bank
  • com.boursorama.android.clients
  • com.kutxabank.android
  • com.kuveytturk.mobil
  • com.latuabancaperandroid
  • com.caisseepargne.android.mobilebanking
  • com.cajasur.android
  • com.cbd.mobile
  • com.cbq.CBMobile
  • com.chase.sig.android
  • com.cibc.android.mobi
  • com.cic_prod.bad
  • com.citi.citimobile
  • com.citibanamex.banamexmobile
  • com.citibank.mobile.citiuaePAT
  • com.clairmail.fth com.cm_prod.bad
  • com.coinbase.android
  • com.comarch.mobile.banking.bgzbnpparibas.biznes
  • com.comarch.security.mobilebanking
  • com.commbank.netbank
  • com.csam.icici.bank.imobile
  • com.db.mm.norisbank
  • com.db.mobilebanking
  • com.db.pbc.miabanca
  • com.db.pbc.mibanco
  • com.dib.app
  • com.discoverfinancial.mobile
  • com.finansbank.mobile.cepsube
  • com.finanteq.finance.ca
  • com.fullsix.android.labanquepostale.accountaccess
  • com.fusion.banking
  • com.fusion.beyondbank
  • com.garanti.cepsubesi
  • com.getingroup.mobilebanking
  • com.greater.Greater
  • com.grppl.android.shell.BOS
  • com.grppl.android.shell.CMBlloydsTSB73
  • com.grppl.android.shell.halifax
  • com.htsu.hsbckişisel bankacılık
  • com.imaginbank.app
  • com.infonow.bofa
  • com.ingbanktr.ingmobil
  • com.isis_papyrus.raiffeisen_pay_eyewdg
  • com.itau.empresas com.kasikorn.retail.mbanking.wap
  • com.konylabs.capitalone
  • com.konylabs.cbplpat
  • Com.magiclick.odeabank
  • com.moneybookers.skrillpayments
  • com.mobileloft.alpha.droid

IOC’ler

IOC’ler (Kaynak – K7 Güvenlik Laboratuvarları)

850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.



Source link