DoubleTrouble olarak adlandırılan sofistike yeni bankacılık Trojan, Avrupa’daki mobil kullanıcılar için önemli bir tehdit olarak ortaya çıktı, ileri kaçaklama teknikleri kullandı ve yeni dağıtım kanalları aracılığıyla saldırı yüzeyini genişletti.
Kötü amaçlı yazılım başlangıçta tanınmış Avrupa bankacılık kurumlarını taklit eden kimlik avı web sitelerine yayıldı, ancak yakın zamanda doğrudan anlaşmazlık kanallarında kötü niyetli örnekleri barındıran sahte web sitelerinden yararlanmak için gelişti.
DoubleTrouble, geleneksel kaplama saldırılarını kapsamlı ekran kaydı, gelişmiş anahtarlama ve gerçek zamanlı cihaz manipülasyonu gibi en yeni yeteneklerle birleştiren mobil bankacılık kötü amaçlı yazılımlarında bir evrimi temsil eder.
Truva atının sofistike yaklaşımı, kötü amaçlı yükünü uygulamanın kaynaklarından/ham dizininden gizlice dağıtarken kendisini meşru Google Play uzantıları olarak gizlemeyi içerir.
Kurulduktan sonra, kötü amaçlı yazılım, benzeri görülmemiş bir gizlilik ve etkinliğe sahip hileli faaliyetler yürütmek için Android’in erişilebilirlik hizmetlerini kullanır.
.webp)
Zimperium’daki güvenlik araştırmacıları, bu bankacılık Truva atını kapsamlı izleme işlemleri sırasında tespit etti ve mevcut kampanyadan 25 örnek ve 9 numune örnek aldı.
Araştırma ekibinin analizi, kötü amaçlı yazılımların hem dağıtım yöntemlerinde hem de teknik yeteneklerde hızlı evrimini ortaya koyarak son aylarda gözlemlenen en sofistike bankacılık truva atlarından biri olarak işaretledi.
Kötü amaçlı yazılımların etkisi, saldırganların enfekte olmuş cihazlar üzerinde tam kontrol sahibi olmalarını sağlayan özellikleri birleştirerek geleneksel kimlik bilgisi hırsızlığının ötesine uzanır.
DoubleTrouble, ekran içeriğini gerçek zamanlı olarak yakalayabilir, her tuş vuruşunu izleyebilir, meşru bankacılık uygulamalarını engelleyebilir ve hassas finansal bilgileri toplamak için tasarlanmış ikna edici sahte arayüzler sunabilir.
.webp)
Bu yetenekler, kötü amaçlı yazılımları modern güvenlik önlemlerini ve çok faktörlü kimlik doğrulama sistemlerini atlayabilen zorlu bir tehdit olarak konumlandırır.
Gelişmiş Ekran Kaydı ve Veri Sınırlama Mekanizması
DoubleTrouble’ın en ilgili özelliği, kapsamlı görsel gözetim elde etmek için Android’in mediaProjeksiyonu ve VirtualDisplay API’lerini kullanan sofistike ekran kayıt yeteneğinde yatmaktadır.
Kötü amaçlı yazılım, dikkatle gizlenmiş bir etkinlik yoluyla ekran yakalama izinleri talep ederek bu işlemi başlatarak kullanıcı algılama olasılığını en aza indirir.
İzin verildikten sonra, Truva atı, kullanıcının aktif ekranının gerçek zamanlı bir aynası olarak işlev gören sanal bir ekran oluşturur.
.webp)
Teknik uygulama, daha sonra JPEG formatına dönüştürülen ve Base64 dizelerine kodlanan sanal ekrandan ayrı ayrı çerçeveleri yakalamak için bir ImageReader kullanmayı içerir.
Bu kodlanmış görsel veriler daha sonra ekran boyutları ve görüntü formatı özellikleri gibi meta veriler içeren JSON nesneleri içinde kapsüllenir.
Tam yük, komut ve kontrol sunucusuna iletilir ve saldırganlara bankacılık işlemleri, kripto para birimi işlemleri ve şifre yöneticisi etkileşimleri gibi tüm kullanıcı etkinliklerinin engelsiz bir görünümünü sağlar.
DoubleTrouble Tam Komut Seti:-
| Emretmek | Tanım |
|---|---|
| Ev | Ekran kapalıysa gizli bir uyandırma kilidi kullanarak cihazı uyandırır veya ekran açıksa erişilebilirlik yoluyla bir ana bilgisayar düğmesine basın. |
| tıklamak | Dokunmatik olayları simüle etmek için erişilebilirlik hizmeti hareketi yoluyla ekrandaki X ve Y konumunu tıklatır |
| Swipe_path | Erişilebilirlik veya dokunmatik otomasyon kullanarak belirli ekran koordinatları boyunca bir yol çizin |
| start_skeleton | Mevcut kullanıcı arayüzünün ekran görüntüsü benzeri iskelet görünümünü yakalamaya başlar, onu tuval haline getirir ve bir baz64 görüntü olarak gönderir |
| Stop_skeleton | Göndermeyi durdurur ve bayrağı yanlış olarak ayarlar |
| get_screen_locks | Paylaşılan tercihlerden kaydedilmiş desen, pim ve şifre kilit türlerini alır |
| ping | C2 ile iletişimi kurmak için pingler |
| html_injection | HTML enjeksiyonunu sunucudan ve önbellek klasöründeki mağazalardan alır |
| clear_injection_cache | App_cache_data’da kaydedilen enjeksiyonu temizler |
| get_cached_injections | Önbellek enjeksiyon verilerini toplar HTML Dosyaları Paylaşılan tercihlerde depolandı |
| Send_pin | Pimi çalmak için sahte bir ekran gösterir |
| send_patern | Desen çalmak için sahte bir ekran gösterir |
| Send_password | Parola çalmak için sahte bir ekran gösterir |
| Custom_html | JSON’dan ‘HTML’ dizesini yazar veya ‘HTML Bulunmaz!’ Önbellekte bir temp.html dosyasında eksikse |
| block_app | Sunucudan alınan belirli bir uygulamayı engeller ve bakım ekranını gösterir |
| unblock_app | Uygulamanın engelini kaldırıyor |
| push_notifikation | Başlık, içerik ve bir URL veya uygulamayı açma niyetiyle ilgili bir bildirim yayınlar |
| start_graphical | Başlar Ekran Yakalama |
| Stop_graphical | Durdurlar Ekran yakalamasını durdurur |
| start_anti | Koruyucu bir bayrak sağlar ve otomatik eylemleri tetiklemek için belirli metin için kullanıcı arayüzü öğelerini tarar |
| Stop_anti | Koruyucu bir bayrağı devre dışı bırakır ve otomatik taramayı durdurur |
| geri | Bir Geri Düğmeye Tuşunu Simüle eder |
| son | Erişilebilirlik aracılığıyla bir ana düğme baskısını simüle eder |
| kilit | Erişilebilirlik hizmeti ile Recents düğmesine basmayı simüle eder |
| sesini kapatmak | Cihazdaki sesi susturur |
| Open_app | Sunucudan alınan belirli bir paketi açar |
| Open_properties | Sistem ayarlarında belirli bir paket için uygulama bilgisi ekranını açar |
| Open_play_protect | Google Play Protect’in ‘Uygulamaları Doğrula’ ayarlarını açar ve etkinlik mevcut değilse bir tost gösterir |
| get_events | Veriler varsa, kaydedilen ‘Beats’ verilerini ‘Events_list’ komutu olarak içeren bir JSON yükü gönderir |
| enable_black_on | Tam siyah ekran kaplamasını görüntüleyin |
| enable_black_off | Siyah kaplama görünümünü kaldırır |
| enable_update_on | ‘Cihaz Güncellemesi başladı’, ‘Don’t Touch’ mesajı ile sahte güncellemeli bir yer paylaşımı görüntüler |
| enable_update_off | Güncelleme kaplamasını kaldırır |
| enable_html_on | Tüm ekranı kapsayan bir kaplama penceresi oluşturur ve verilen HTML içeriğiyle birlikte bir web görüntüsü gösterir |
| enable_html_off | Kaplama görünümünü kaldırdı |
| get_screen_size | Ekran genişliğini ve yüksekliği alır ve paylaşılan tercihlere yazar |
Bu gözetim mekanizması, kullanıcılar meşru uygulamalarla etkileşime girdikçe hassas bilgileri yakalayarak arka planda sessizce çalışır.
Kötü amaçlı yazılımların, kullanıcıların gördüğü şeyi tam olarak kaydetme yeteneği, saldırganların geleneksel güvenlik önlemlerini atlamalarını, tek seferlik şifreleri kesmesine ve doğrudan uygulama uzlaşmasından ziyade görsel gözlem yoluyla son derece gizli finansal verilere erişmesini sağlar.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin