Siber güvenlik araştırmacıları, iki yeni Android kötü amaçlı yazılım ailesinin ayrıntılarını açıkladı. FvncBot Ve Tohum HırsızıClayRat’ın başka bir yükseltilmiş versiyonu vahşi doğada tespit edildiğinden.
Bulgular sırasıyla Intel 471, CYFIRMA ve Zimperium’dan geliyor.
mBank tarafından geliştirilen bir güvenlik uygulaması gibi görünen FvncBot, Polonya’daki mobil bankacılık kullanıcılarını hedef alıyor. Kötü amaçlı yazılımın dikkate değer yanı, tamamen sıfırdan yazılmış olması ve kaynak kodu sızdırılan ERMAC gibi diğer Android bankacılık truva atlarından ilham almamasıdır.
Intel 471, kötü amaçlı yazılımın “başarılı mali dolandırıcılık gerçekleştirmek için Android’in erişilebilirlik hizmetlerini kötüye kullanarak tuş kaydetme, web enjeksiyon saldırıları, ekran akışı ve gizli sanal ağ bilişimi (HVNC) dahil olmak üzere birçok özelliği uyguladığını” söyledi.
Yakın zamanda ortaya çıkarılan Albiriox bankacılık kötü amaçlı yazılımına benzer şekilde, kötü amaçlı yazılım, Golden Crypt tarafından sunulan ve apk0day olarak bilinen bir şifreleme hizmeti tarafından korunuyor. Kötü amaçlı uygulama, yerleşik FvncBot verisini yükleyerek bir yükleyici görevi görüyor.
Damlalık uygulaması başlatılır başlatılmaz, kullanıcılardan uygulamanın güvenliğini ve istikrarını sağlamak için bir Google Play bileşeni yüklemeleri istenir; ancak gerçekte bu, diğer tehdit aktörlerinin 13 ve daha yeni sürümleri çalıştıran Android cihazlardaki erişilebilirlik kısıtlamalarını aşmak için benimsediği oturum tabanlı bir yaklaşımdan yararlanarak kötü amaçlı yazılımın yayılmasına yol açar.
Intel 471, “Kötü amaçlı yazılım çalışma zamanı sırasında günlük olayları, botun mevcut durumunu izlemek için naleymilva.it.com etki alanındaki uzak sunucuya gönderildi.” dedi. “Operatörler, Polonya’yı hedef ülke olarak belirten bir yapı tanımlayıcısı call_pl ekledi ve kötü amaçlı yazılım sürümü, geliştirmenin erken bir aşamasına işaret eden 1.0-P olarak ayarlandı.
Kötü amaçlı yazılım daha sonra kurbandan erişilebilirlik hizmetleri izinlerini vermesini isteyerek yükseltilmiş ayrıcalıklarla çalışmasına ve virüslü cihazı kaydetmek için HTTP üzerinden harici bir sunucuya bağlanmasına ve karşılığında Firebase Bulut Mesajlaşma (FCM) hizmetini kullanarak komutlar almasına olanak tanır.
 |
| FvncBot’un erişilebilirlik hizmetini etkinleştirme süreci |
Destek işlevlerinden bazıları aşağıda listelenmiştir:
- Cihazı uzaktan kontrol etmek için WebSocket bağlantısını başlatın/durdurun ve cihazın ekranında gezinmek için kaydırın, tıklayın veya kaydırın
- Günlüğe kaydedilen erişilebilirlik olaylarını denetleyiciye sızdırma
- Yüklü uygulamaların listesine sızma
- Cihaz bilgilerini ve bot yapılandırmasını sızdırın
- Hedeflenen uygulamaların üzerinde kötü amaçlı katmanlar sunmak için yapılandırma alın
- Hassas verileri yakalamak ve sızdırmak için tam ekran bir yer paylaşımı gösterin
- Kaplamayı gizleme
- Erişilebilirlik hizmetlerinin durumunu kontrol edin
- Tuş vuruşlarını günlüğe kaydetmek için erişilebilirlik hizmetlerini kötüye kullanma
- Denetleyiciden bekleyen komutları getir
- Ekran içeriğini yayınlamak için Android’in MediaProjection API’sini kötüye kullanma
FvncBot ayrıca, bir uygulamanın FLAG_SECURE seçeneğini ayarlayarak ekran görüntülerinin alınmasını engellediği senaryolarda bile cihaz ekranı düzenini ve içeriğini incelemek için metin modu adı verilen modu kolaylaştırır.
Şu anda FvncBot’un nasıl dağıtıldığı bilinmiyor ancak Android bankacılık truva atlarının, yayılma vektörü olarak SMS kimlik avı ve üçüncü taraf uygulama mağazalarından yararlandığı biliniyor.
Intel 471, “Android’in erişilebilirlik hizmeti engelli kullanıcılara yardımcı olmayı amaçlıyor ancak aynı zamanda saldırganlara belirli uygulamaların ne zaman başlatıldığını bilme ve ekranın üzerine yazma yeteneği de verebilir.” dedi. “Bu özel örnek Lehçe konuşan kullanıcıları hedef alacak şekilde yapılandırılmış olsa da, bu temanın diğer bölgeleri hedef alacak veya diğer Polonya kurumlarını taklit edecek şekilde değiştiğini gözlemlememiz makul.”
FvncBot’un temel odak noktası veri hırsızlığı olsa da, Telegram aracılığıyla Coin adı altında dağıtılan SeedSnatcher, kripto para cüzdanı tohum ifadelerinin çalınmasını mümkün kılmak için tasarlandı. Ayrıca, hesap ele geçirmeleri için iki faktörlü kimlik doğrulama (2FA) kodlarını çalmak amacıyla gelen SMS mesajlarına müdahale etme ve kimlik avı katmanlarını görüntüleyerek cihaz verilerini, kişileri, çağrı günlüklerini, dosyaları ve hassas verileri yakalama yeteneğini de destekler.
SeedSnatcher operatörlerinin, Telegram ve hırsızın kontrol paneli aracılığıyla paylaşılan Çince talimatların varlığına dayanarak Çin merkezli veya Çince konuştuğu değerlendiriliyor.
CYFIRMA, “Kötü amaçlı yazılım, tespitten kaçınmak için dinamik sınıf yükleme, gizli WebView içerik enjeksiyonu ve tamsayı tabanlı komut ve kontrol talimatları dahil olmak üzere gelişmiş tekniklerden yararlanıyor” dedi. “Başlangıçta SMS erişimi gibi minimum çalışma zamanı izinleri isterken, daha sonra Dosya yöneticisine, katmanlara, kişilere, çağrı kayıtlarına ve daha fazlasına erişim ayrıcalıklarını yükseltir.”
Gelişmeler, Zimperium zLabs’ın ClayRat’ın, varsayılan SMS izinlerini kötüye kullanmanın yanı sıra erişilebilirlik hizmetlerini kötüye kullanacak şekilde güncellenmiş, tuş vuruşlarını ve ekranı kaydedebilen, kötü amaçlı etkinlikleri gizlemek için sistem güncelleme ekranı gibi farklı katmanlar sunan ve kurbanların yanıtlarını çalmak için sahte etkileşimli bildirimler oluşturabilen daha güçlü bir tehdit haline getiren geliştirilmiş bir ClayRat sürümü keşfettiğini söylemesinin ardından geldi.
 |
| ClayRat’ın varsayılan SMS ve erişilebilirlik izni |
Özetle, ClayRat’ın yeteneklerindeki genişleme, erişilebilirlik hizmetlerinin kötüye kullanılması, cihaz PIN’inin/şifresinin/deseninin otomatik olarak açılması, ekran kaydı, bildirim toplama ve kalıcı katmanlar yoluyla cihazın tam olarak ele geçirilmesini kolaylaştırır.
ClayRat, YouTube gibi meşru hizmetleri taklit eden, arka planda oynatma için Pro sürümünün reklamını yapan ve 4K HDR desteği sunan 25 sahte kimlik avı alanı aracılığıyla yayıldı. Kötü amaçlı yazılımı dağıtan Dropper uygulamalarının da Rus taksi ve park uygulamalarını taklit ettiği tespit edildi.
Araştırmacılar Vishnu Pratapagiri ve Fernando Ortega, “Bu yetenekler bir araya geldiğinde, ClayRat’ı, kurbanın enfeksiyonu tespit ettiğinde uygulamayı kaldırabildiği veya cihazı kapatabildiği önceki sürümüne kıyasla daha tehlikeli bir casus yazılım haline getiriyor” dedi.