Bankacılık kimlik bilgilerini çalmak için kimlik avı siteleri aracılığıyla kullanıcılara saldıran yeni bankacılık kötü amaçlı yazılımlara saldıran kullanıcılar


Bankacılık kimlik bilgilerini çalmak için kimlik avı siteleri aracılığıyla kullanıcılara saldıran yeni bankacılık kötü amaçlı yazılımlara saldıran kullanıcılar

DoubleTrouble olarak adlandırılan sofistike yeni bankacılık Trojan, Avrupa’daki mobil kullanıcılar için önemli bir tehdit olarak ortaya çıktı, ileri kaçaklama teknikleri kullandı ve yeni dağıtım kanalları aracılığıyla saldırı yüzeyini genişletti.

Kötü amaçlı yazılım başlangıçta tanınmış Avrupa bankacılık kurumlarını taklit eden kimlik avı web sitelerine yayıldı, ancak yakın zamanda doğrudan anlaşmazlık kanallarında kötü niyetli örnekleri barındıran sahte web sitelerinden yararlanmak için gelişti.

DoubleTrouble, geleneksel kaplama saldırılarını kapsamlı ekran kaydı, gelişmiş anahtarlama ve gerçek zamanlı cihaz manipülasyonu gibi en yeni yeteneklerle birleştiren mobil bankacılık kötü amaçlı yazılımlarında bir evrimi temsil eder.

Google Haberleri

Truva atının sofistike yaklaşımı, kötü amaçlı yükünü uygulamanın kaynaklarından/ham dizininden gizlice dağıtarken kendisini meşru Google Play uzantıları olarak gizlemeyi içerir.

Kurulduktan sonra, kötü amaçlı yazılım, benzeri görülmemiş bir gizlilik ve etkinliğe sahip hileli faaliyetler yürütmek için Android’in erişilebilirlik hizmetlerini kullanır.

Yükleme sırasında kullanıcıya gösterilen düzenler (kaynak – zimperium)

Zimperium’daki güvenlik araştırmacıları, bu bankacılık Truva atını kapsamlı izleme işlemleri sırasında tespit etti ve mevcut kampanyadan 25 örnek ve 9 numune örnek aldı.

Araştırma ekibinin analizi, kötü amaçlı yazılımların hem dağıtım yöntemlerinde hem de teknik yeteneklerde hızlı evrimini ortaya koyarak son aylarda gözlemlenen en sofistike bankacılık truva atlarından biri olarak işaretledi.

Kötü amaçlı yazılımların etkisi, saldırganların enfekte olmuş cihazlar üzerinde tam kontrol sahibi olmalarını sağlayan özellikleri birleştirerek geleneksel kimlik bilgisi hırsızlığının ötesine uzanır.

DoubleTrouble, ekran içeriğini gerçek zamanlı olarak yakalayabilir, her tuş vuruşunu izleyebilir, meşru bankacılık uygulamalarını engelleyebilir ve hassas finansal bilgileri toplamak için tasarlanmış ikna edici sahte arayüzler sunabilir.

Sahte yazılım tarafından oluşturulan sahte kullanıcı arayüzü, cihaz kilitleri (kaynak – zimperium) çalmak için oluşturuldu

Bu yetenekler, kötü amaçlı yazılımları modern güvenlik önlemlerini ve çok faktörlü kimlik doğrulama sistemlerini atlayabilen zorlu bir tehdit olarak konumlandırır.

Gelişmiş Ekran Kaydı ve Veri Sınırlama Mekanizması

DoubleTrouble’ın en ilgili özelliği, kapsamlı görsel gözetim elde etmek için Android’in mediaProjeksiyonu ve VirtualDisplay API’lerini kullanan sofistike ekran kayıt yeteneğinde yatmaktadır.

Kötü amaçlı yazılım, dikkatle gizlenmiş bir etkinlik yoluyla ekran yakalama izinleri talep ederek bu işlemi başlatarak kullanıcı algılama olasılığını en aza indirir.

İzin verildikten sonra, Truva atı, kullanıcının aktif ekranının gerçek zamanlı bir aynası olarak işlev gören sanal bir ekran oluşturur.

Block için uygulamanın üstünde gösterilen sistem bakım kaplaması (kaynak – zimperium)

Teknik uygulama, daha sonra JPEG formatına dönüştürülen ve Base64 dizelerine kodlanan sanal ekrandan ayrı ayrı çerçeveleri yakalamak için bir ImageReader kullanmayı içerir.

Bu kodlanmış görsel veriler daha sonra ekran boyutları ve görüntü formatı özellikleri gibi meta veriler içeren JSON nesneleri içinde kapsüllenir.

Tam yük, komut ve kontrol sunucusuna iletilir ve saldırganlara bankacılık işlemleri, kripto para birimi işlemleri ve şifre yöneticisi etkileşimleri gibi tüm kullanıcı etkinliklerinin engelsiz bir görünümünü sağlar.

DoubleTrouble Tam Komut Seti:-

Emretmek Tanım
Ev Ekran kapalıysa gizli bir uyandırma kilidi kullanarak cihazı uyandırır veya ekran açıksa erişilebilirlik yoluyla bir ana bilgisayar düğmesine basın.
tıklamak Dokunmatik olayları simüle etmek için erişilebilirlik hizmeti hareketi yoluyla ekrandaki X ve Y konumunu tıklatır
Swipe_path Erişilebilirlik veya dokunmatik otomasyon kullanarak belirli ekran koordinatları boyunca bir yol çizin
start_skeleton Mevcut kullanıcı arayüzünün ekran görüntüsü benzeri iskelet görünümünü yakalamaya başlar, onu tuval haline getirir ve bir baz64 görüntü olarak gönderir
Stop_skeleton Göndermeyi durdurur ve bayrağı yanlış olarak ayarlar
get_screen_locks Paylaşılan tercihlerden kaydedilmiş desen, pim ve şifre kilit türlerini alır
ping C2 ile iletişimi kurmak için pingler
html_injection HTML enjeksiyonunu sunucudan ve önbellek klasöründeki mağazalardan alır
clear_injection_cache App_cache_data’da kaydedilen enjeksiyonu temizler
get_cached_injections Önbellek enjeksiyon verilerini toplar HTML Dosyaları Paylaşılan tercihlerde depolandı
Send_pin Pimi çalmak için sahte bir ekran gösterir
send_patern Desen çalmak için sahte bir ekran gösterir
Send_password Parola çalmak için sahte bir ekran gösterir
Custom_html JSON’dan ‘HTML’ dizesini yazar veya ‘HTML Bulunmaz!’ Önbellekte bir temp.html dosyasında eksikse
block_app Sunucudan alınan belirli bir uygulamayı engeller ve bakım ekranını gösterir
unblock_app Uygulamanın engelini kaldırıyor
push_notifikation Başlık, içerik ve bir URL veya uygulamayı açma niyetiyle ilgili bir bildirim yayınlar
start_graphical Başlar Ekran Yakalama
Stop_graphical Durdurlar Ekran yakalamasını durdurur
start_anti Koruyucu bir bayrak sağlar ve otomatik eylemleri tetiklemek için belirli metin için kullanıcı arayüzü öğelerini tarar
Stop_anti Koruyucu bir bayrağı devre dışı bırakır ve otomatik taramayı durdurur
geri Bir Geri Düğmeye Tuşunu Simüle eder
son Erişilebilirlik aracılığıyla bir ana düğme baskısını simüle eder
kilit Erişilebilirlik hizmeti ile Recents düğmesine basmayı simüle eder
sesini kapatmak Cihazdaki sesi susturur
Open_app Sunucudan alınan belirli bir paketi açar
Open_properties Sistem ayarlarında belirli bir paket için uygulama bilgisi ekranını açar
Open_play_protect Google Play Protect’in ‘Uygulamaları Doğrula’ ayarlarını açar ve etkinlik mevcut değilse bir tost gösterir
get_events Veriler varsa, kaydedilen ‘Beats’ verilerini ‘Events_list’ komutu olarak içeren bir JSON yükü gönderir
enable_black_on Tam siyah ekran kaplamasını görüntüleyin
enable_black_off Siyah kaplama görünümünü kaldırır
enable_update_on ‘Cihaz Güncellemesi başladı’, ‘Don’t Touch’ mesajı ile sahte güncellemeli bir yer paylaşımı görüntüler
enable_update_off Güncelleme kaplamasını kaldırır
enable_html_on Tüm ekranı kapsayan bir kaplama penceresi oluşturur ve verilen HTML içeriğiyle birlikte bir web görüntüsü gösterir
enable_html_off Kaplama görünümünü kaldırdı
get_screen_size Ekran genişliğini ve yüksekliği alır ve paylaşılan tercihlere yazar

Bu gözetim mekanizması, kullanıcılar meşru uygulamalarla etkileşime girdikçe hassas bilgileri yakalayarak arka planda sessizce çalışır.

Kötü amaçlı yazılımların, kullanıcıların gördüğü şeyi tam olarak kaydetme yeteneği, saldırganların geleneksel güvenlik önlemlerini atlamalarını, tek seferlik şifreleri kesmesine ve doğrudan uygulama uzlaşmasından ziyade görsel gözlem yoluyla son derece gizli finansal verilere erişmesini sağlar.

Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin



Source link