Android XLoader kötü amaçlı yazılımı artık kurulumdan sonra otomatik olarak çalıştırılabiliyor


Android

XLoader Android kötü amaçlı yazılımının, bulaştığı cihazlarda otomatik olarak çalıştırılan ve başlatılması için kullanıcı etkileşimi gerektirmeyen yeni bir sürümü keşfedildi.

XLoader, diğer adıyla MoqHao, daha önce ABD, İngiltere, Almanya, Fransa, Japonya, Güney Kore ve Tayvan’daki kullanıcıları hedef aldığı görülen, muhtemelen ‘Roaming Mantis’ adlı finansal motivasyona sahip bir tehdit aktörü tarafından işletilen ve oluşturulan bir Android kötü amaçlı yazılımıdır.

Saldırganlar, kötü amaçlı yazılımı öncelikli olarak, bir mobil uygulama için Android APK yükleme dosyası sunan bir siteye işaret eden (kısaltılmış) bir URL içeren SMS metni aracılığıyla dağıtır.

McAfee’deki araştırmacılar, son XLoader çeşitlerinin kurulumdan sonra otomatik olarak başlatılma yeteneğini gösterdiğini bildiriyor. Bu, kötü amaçlı yazılımın arka planda gizlice çalışmasına ve diğer şeylerin yanı sıra hassas kullanıcı bilgilerini sifonlamasına olanak tanır.

Enfeksiyon zinciri
Eski ve yeni enfeksiyon zincirleri (McAfee)

Android’in App Defense Alliance ortağı McAfee, “Uygulama yüklenirken kötü amaçlı etkinlikleri otomatik olarak başlıyor” diye açıklıyor.

“Bu tekniği zaten Google’a bildirdik ve onlar da gelecekteki Android sürümlerinde bu tür otomatik yürütmeyi önlemek için halihazırda hafifletici önlemlerin uygulanması üzerinde çalışıyorlar.”

Kötü amaçlı uygulamayı daha da gizlemek için Roaming Mantis, kötü amaçlı APK’ları, özellikle Chrome web tarayıcısını, yasal yazılım olarak gizlemek için Unicode dizeleri kullanıyor.

İlk başlatma sırasında izin istekleri
İlk başlatma sırasında izin istekleri (McAfee)

Bu kimliğe bürünme, bir sonraki adım için hayati öneme sahiptir; bu adım, kullanıcıyı cihazdaki SMS içeriği gönderme ve bu içeriğe erişme gibi riskli izinleri onaylaması için kandırmak ve Android’in Pil Optimizasyonundan bir hariç tutma eklenerek ‘her zaman arka planda çalışmasına’ izin verilmesidir. .

Kötü amaçlı yazılımın SMS için varsayılan uygulama olarak ayarlanmasına yönelik zorlu istek
Kötü amaçlı yazılımın SMS için varsayılan uygulama olarak ayarlanmasına yönelik zorlu istek (McAfee)

Sahte Chrome uygulaması ayrıca kullanıcıdan kendisini varsayılan SMS uygulaması olarak ayarlamasını istiyor ve bunu yapmanın spam’i önlemeye yardımcı olacağını iddia ediyor.

Bu adımda kullanılan açılır mesajlar, XLoader’ın mevcut hedeflerini gösteren İngilizce, Korece, Fransızca, Japonca, Almanca ve Hintçe dillerinde mevcuttur.

Açılır mesajları oluşturmak için kod
Açılır mesajları oluşturmak için kod (McAfee)

Kötü amaçlı yazılımın çalışması

XLoader’ın en son yinelemesi, cihazda özel kimlik avı saldırıları gerçekleştirmek için bildirim kanalları oluşturur.

Şüpheli trafik kaynaklarını izleyen güvenlik araçlarının tespitinden kaçınmak için, Pinterest profillerinden kimlik avı mesajlarını ve açılış URL’lerini çıkarır.

Kimlik avı mesajını ve URL'yi barındıran Pinterest profili
Kimlik avı mesajını ve URL’yi barındıran Pinterest profili (McAfee)

Ayrıca Pinterest’i kullanmak, saldırganların cihazdaki kötü amaçlı yazılıma güncelleme gönderme riski olmadan, kimlik avı hedeflerini ve mesajlarını anında değiştirmesine olanak tanır.

Bu başarısız olursa XLoader, kullanıcıyı banka hesabında harekete geçmesini gerektiren bir sorun konusunda uyaran sabit kodlu kimlik avı mesajlarını kullanmaya geri döner.

Ek olarak, kötü amaçlı yazılım, WebSocket protokolü aracılığıyla komuta ve kontrol (C2) sunucusundan aldığı çok çeşitli komutları (toplamda 20) yürütebilir.

En önemli XLoader komutları şunlardır:

  • get_photo: Önemli gizlilik ihlallerini riske atarak tüm fotoğrafları kontrol sunucusuna iletir.
  • getSmsKW: Tüm SMS mesajlarını kontrol sunucusuna göndererek, potansiyel olarak hassas bilgileri açığa çıkararak gizliliği riske atar.
  • SMS gönder: Kötü amaçlı yazılımın SMS mesajları göndermesine, kötü amaçlı yazılımı yaymasına veya kimliğe bürünme yoluyla kimlik avını etkinleştirmesine olanak tanır.
  • devam: Kişi listesinin tamamını kontrol sunucusuna aktararak gizlilik ihlallerini riske atar ve hedefli kimlik avını etkinleştirir.
  • getPhoneState: Cihaz tanımlayıcılarını (IMEI, SIM numarası, Android kimliği, seri numarası) toplayarak izlemeye olanak tanır.
  • http: Kötü amaçlı yazılım indirme, veri sızdırma veya C2 iletişimi için HTTP isteklerinin gönderilmesini kolaylaştırır.

XLoader, 2015 yılında mobil tehdit sahnesinde ortaya çıkışından bu yana saldırı metodolojilerini sürekli olarak geliştirerek gizlilik yeteneklerini ve etkinliğini artırdı.

McAfee, XLoader’ın en yeni çeşitlerinin minimum düzeyde kullanıcı etkileşimi gerektirdiğinden özellikle etkili olabileceği konusunda uyarıyor.

Kötü amaçlı yazılımın Chrome görünümü altında gizlendiğini göz önünde bulunduran McAfee, cihazı tarayabilen ve bilinen göstergelere göre bu tehditleri ortadan kaldırabilen bir güvenlik ürünü kullanılmasını öneriyor.



Source link