Siber güvenlik analistleri son aylarda Golddigger ve Gigabud Android bankacılık trojanlarının aktivitesinde endişe verici bir artış gözlemlediler. Temmuz 2024’ten bu yana Gigabud kötü amaçlı yazılımı tespit oranlarında önemli bir artış görüldü. Bu artış, kötü amaçlı yazılımın hem dağıtımında hem de etkisinde önemli bir artış olduğunu gösteriyor.
Gigabud, kendisini meşru bir havayolu uygulaması gibi göstererek gelişmiş kimlik avı taktikleri benimsedi. Bu sahte uygulamalar, resmi Google Play Store’u çok yakından taklit eden kimlik avı siteleri aracılığıyla dağıtılıyor ve kullanıcıları kandırarak bu uygulamaları indirmeye yönlendiriyor.
Golddigger ve Gigabud Kötü Amaçlı Yazılım Arasındaki Bağlantı
Cyble Intelligence and Research Labs’a (CRIL) göre, kötü amaçlı yazılımın coğrafi erişimi önemli ölçüde genişledi. Başlangıçta Vietnam ve Tayland gibi bölgelere odaklanan Gigabud, artık Bangladeş, Endonezya, Meksika, Güney Afrika ve Etiyopya’daki kullanıcıları hedef alıyor. Bu daha geniş kapsam, kötü amaçlı yazılımın operasyonlarında stratejik bir genişlemeye işaret ediyor ve daha geniş bir potansiyel kurban yelpazesini tehlikeye atmayı amaçlıyor.
Golddigger ve Gigabud arasındaki bağlantı, tarihsel gelişimlerini incelerken daha da netleşiyor. Ocak 2023’te CRIL, Tayland, Filipinler ve Peru’daki kullanıcıları hedeflemek için hükümet kuruluşlarını taklit eden bir Gigabud kampanyası keşfetti. Haziran 2023’te, bir başka Android bankacılık trojanı olan Golddigger ortaya çıktı ve bir hükümet kuruluşu kisvesi altında Vietnamlı kullanıcıları hedef aldı.
Son analizler, Golddigger ve Gigabud kötü amaçlı yazılımları arasında önemli benzerlikler olduğunu vurguladı. Her iki türün kaynak kodu, aynı Tehdit Aktöründen (TA) kaynaklanabileceklerini düşündüren önemli bir örtüşme gösteriyor. Bu paylaşılan kod ve strateji, kötü amaçlı kampanyalarında koordineli bir yaklaşım olduğunu gösteriyor.
Kimlik Avı Taktikleri ve Coğrafi Genişleme
CRIL’in araştırması, Gigabud kötü amaçlı yazılımını dağıtmak için tasarlanmış çeşitli kimlik avı sitelerini tespit etti. Bu siteler Google Play Store’u taklit ediyor ve meşru South African Airways ve Ethiopian Airlines uygulamaları gibi davranıyor.
Bu tür kimliğe bürünme taktiklerinin kullanılması, kötü amaçlı yazılımın Güney Afrika ve Etiyopya gibi yeni hedef bölgelere doğru yayıldığını gösteriyor.
Ayrıca, Gigabud kötü amaçlı yazılımının, “HeyBanco” gibi Meksika bankacılık kurumlarını ve “M-Pajak” gibi Endonezya hükümet uygulamalarını taklit ettiği gözlemlendi. Bu kurumlar için sahte giriş sayfaları, kullanıcıları hassas kimlik bilgilerini girmeye kandırmak ve böylece kişisel ve finansal bilgilerini tehlikeye atmak için oluşturulur.
Gigabud kötü amaçlı yazılımının teknik yönleri, Golddigger ile daha fazla benzerlik ortaya koyuyor. Gigabud’un son örnekleri, Golddigger tarafından da kullanılan bir teknik olan Virbox paketleyicisini kullanıyor. Virbox paketleyicisi, kötü amaçlı yazılımın gerçek doğasını gizleyerek güvenlik çözümlerinin tehdidi tespit etmesini ve analiz etmesini zorlaştırıyor.
Golddigger ve Gigabud arasındaki kritik benzerliklerden biri, yerel “libstrategy.so” dosyasının kullanılmasıdır. Bu dosya, kötü amaçlı yazılımın hedeflenen bankacılık uygulamalarının kullanıcı arayüzü öğeleriyle etkileşime girme yeteneği için olmazsa olmazdır. Bu dosyanın her iki kötü amaçlı yazılım türünde de bulunması, saldırganlar tarafından kullanılan ortak araçları ve teknikleri vurgular.
Gigabud’un son sürümleri etkileyici sayıda API uç noktası içeriyor: 32, önceki sürümlerde sadece 11’di. Bu uç noktalar, kayıtlı yüz videolarını, SMS mesajlarını, çalınan banka bilgilerini ve daha fazlasını yükleme dahil olmak üzere bir dizi kötü amaçlı etkinliği kolaylaştırıyor. Bu özelliklerin eklenmesi, TA’nın kötü amaçlı yazılımın işlevselliğini ve etkinliğini artırma yönündeki devam eden çabasını yansıtıyor.
Gigabud’un son örnekleri, enfekte olmuş cihazlardaki kullanıcı arayüzü bileşenleriyle etkileşim için hayati önem taşıyan “libstrategy.so” kütüphanesinin kullanılmaya devam edildiğini de gösterdi.
Bu kitaplık, çeşitli hedeflenen bankacılık uygulamaları ve farklı mobil cihazlardan kilit deseni pencereleri için ayrıştırılmış kullanıcı arayüzü öğesi kimliklerini içerir. Kötü amaçlı yazılım, cihazları kilitleme ve kilidini açma ve finansal verileri çalmak için belirli kullanıcı arayüzü öğelerini hedefleme gibi kötü amaçlı eylemleri yürütmek için bu bilgileri kullanır.
Görsel Kanıt, Analiz ve Azaltma Stratejileri
Bu örtüşmenin kapsamını göstermek için, son analizlerden elde edilen görsel kanıtları göz önünde bulundurun. Şekiller, Gigabud’u dağıtmak için kullanılan kimlik avı sitelerini vurgulamaktadır, örneğin South African Airways ve Ethiopian Airlines’ı taklit edenler. Ayrıca, Meksika ve Endonezya kurumlarına ait sahte giriş sayfalarının görüntüleri, Gigabud’un kullanıcıları kimlik bilgilerini ifşa etmeleri için nasıl kandırmaya çalıştığını ortaya koymaktadır.
Teknik rakamlar ortak kütüphanelerin ve API uç noktalarının kullanımını daha da göstermektedir. Örneğin, eski ve yeni Gigabud örneklerinin karşılaştırılması, kötü amaçlı yazılımın kodunun temel benzerlikleri korurken nasıl evrimleştiğini göstermektedir. Komuta ve Kontrol (C&C) iletişimi için Retrofit kütüphanesinin kullanımı, tutarlı API uç noktalarıyla birlikte, Gigabud’un daha yeni ve daha eski sürümleri arasındaki bağlantıyı doğrulamaktadır.
Gigabud ve Golddigger kötü amaçlı yazılımlarına yönelik araştırma, önemli bir örtüşmeyi vurgulayarak her iki türün de arkasında aynı TA’nın olduğunu öne sürüyor. Gigabud’un etkinliğindeki son artış, paylaşılan teknikler ve araçlarla birleşince, tehdit aktörleri tarafından kullanılan karmaşık bir kampanyayı vurguladı. Kötü amaçlı yazılımın yeni bölgelere yayılması ve özelliklerinin sürekli olarak iyileştirilmesi, daha geniş bir kitleyi hedeflemek için koordineli bir çabayı gösteriyor.
Bu kalıcı tehditlere karşı korunmak için, kullanıcıların sağlam siber güvenlik önlemleri uygulamaları önerilir. Bunlar arasında parmak izi veya yüz tanıma gibi biyometrik güvenlik özelliklerini etkinleştirmek, SMS veya e-posta yoluyla alınan bağlantılara karşı dikkatli olmak, Google Play Protect’in etkinleştirildiğinden emin olmak ve cihazları, işletim sistemlerini ve uygulamaları güncel tutmak yer alır. Bu en iyi uygulamaları izleyerek, kullanıcılar Golddigger ve Gigabud gibi Android kötü amaçlı yazılımlarının oluşturduğu tehditlere karşı kendilerini daha iyi savunabilirler.