Sofistike bir Android kötü amaçlı yazılım kampanyası, kötü şöhretli Spynote Uzaktan Erişim Trojan’ı (RAT) dağıtmak için meşru Google Play Store uygulama sayfalarını mükemmel bir şekilde taklit eden aldatıcı web sitelerini kullandı.
Bu kötü niyetli işlem, kurbanları doğrudan uzlaştırılmış sunuculardan kötü amaçlı APK dosyalarını indirmek için kandırmak için tasarlanmış kopyalanmış CSS stil ve JavaScript işlevselliği ile birlikte popüler Android uygulama yükleme sayfalarının statik HTML klonları oluşturarak şüphesiz kullanıcıları hedefler.
Spynote kötü amaçlı yazılım, mobil güvenlik ortamında, kapsamlı gözetim yeteneklerine sahip son derece müdahaleci bir Android sıçan olarak işlev gören mobil güvenlik ortamında zorlu bir tehdidi temsil ediyor.
Kurulduktan sonra, kötü amaçlı yazılım cihaz kameralarını ve mikrofonları uzaktan kontrol edebilir, telefon görüşmelerini yönetebilir, keyfi komutlar yürütebilir ve özellikle uygulama kimlik bilgilerini hedefleyen sofistike anahtarlama işlemleri yapabilir.
.webp)
Ana endişe, iki faktörlü kodları çalmak ve kullanıcıları sahte ekranlarla kandırmak için Android’in erişilebilirlik hizmetlerini kullanmasıdır.
Domaintools araştırmacıları, bu kalıcı kampanyayı önceki Spynote etkinliğinin bir devamı olarak tanımladılar ve tehdit oyuncusunun yaklaşımında önemli taktiksel evrime dikkat çekti.
Kötü niyetli altyapı ağırlıklı olarak iki IP adresi kullanır – 154.90.58[.]26 ve 199.247.6[.]61 – Namesilo LLC ve Xinnet Technology Corporation aracılığıyla kayıtlı alan adları.
Sahte web siteleri sürekli olarak belirli JavaScript kütüphaneleri içerir ve LightNode Limited ve Vultr Holdings LLC Altyapısı’nda barındırılan NGINX sunucularını kullanır.
Gelişmiş enfeksiyon mekanizması ve yük teslimatı
Enfeksiyon süreci, kullanıcıların dikkatle hazırlanmış bir JavaScript işlevi aracılığıyla kötü niyetli indirmeleri tetikleyen Google Play Store taklitçilerini ikna ettiklerinde başlar.
.webp)
Temel kötü niyetli işlevsellik bir download() Gizli IFRames’i oluşturan ve kaynaklarını JavaScript URI’larına ayarlayan işlev, geçerli sayfadan çıkmadan kullanıcılar olmadan APK indirmelerini etkili bir şekilde başlatır.
Kötü amaçlı yazılım, dinamik yük teknikleri ve DEX elemanı enjeksiyonunu kullanarak sofistike bir çok aşamalı dağıtım işlemi kullanır.
Başlangıç damlalı APK (karma 48AA5F908fa612DCB38ACF4005DE72B9379F50C7E1BC43A4E612DCB38ACF4005DE ile okuma okuması, şifreli varlıklar üretir, sığınma kreti üretir.
Damlalı, yükü durgunluğu için 16 bayt AES anahtarını “62646323633333631” almak için “rogcysibz.wbnyvkrn.sstjjs” paket adını çıkarır.
Kötü amaçlı yazılım, tüm işlev adları için ‘O’, ‘O’ ve ‘0’ gibi karakterlerin rastgele varyasyonlarını kullanarak kontrol akışı gizleme ve tanımlayıcı gizleme yoluyla gelişmiş anti-analiz yeteneklerini gösterir.
Bu teknik statik analizi önemli ölçüde karmaşıklaştırırken, dinamik yükleme mekanizması, birincil kötü niyetli işlevlerin çalışma zamanı yürütülmesine kadar gizli kalmasını sağlar ve geleneksel güvenlik algılama yöntemlerini etkili bir şekilde atlar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.