Ağustos 2024’ten bu yana, finansal olarak motive olmuş bir tehdit grubu, Endonezya ve Vietnam’daki Android kullanıcılarını resmi hükümet kimliği ve ödeme başvuruları olarak gizlenmiş bankacılık truva atlarını hedefliyor.
Operatörler, ayrıntılı indirme mekanizmaları kullanarak, altyapıyı yeniden kullanarak ve şablon tabanlı kimlik alanlarından yararlanarak, kullanıcı kimlik bilgilerinden kaçınmak ve kullanmak için koordineli bir kampanya kullandılar.
Kampanya ilk olarak araştırmacılar, klonlanmış vitrin görüntülerini gösteren “VFPPKD-JY41G-V67AGC” gibi dizeler de dahil olmak üzere sahte Google Play mağaza sayfalarında şüpheli HTML öğeleri fark ettiklerinde ortaya çıktı.
Bir alan, icrossingAppxyz[.]com, sahte “Google Play’i İndir” ve “App Store’da İndir” düğmelerini sundu.
Apple bağlantısı fonksiyonel değildi, Android düğmesine tıklarken, bir soket ile güçlendirilen bir sayfa ilerleme çubuğu başlattı.
Perde arkasında, sayfa bir WebSocket bağlantısı açtı. “StartDownload” te sunucu, .APK dosyasını Socket.emit ve Socket.on olayları aracılığıyla birden çok parçada aktardı.
Her yığın geldikçe, JavaScript ilerleme çubuğunu güncelledi ve yerel bir indirme sürecini simüle etti. “DownloadComplete” üzerine komut dosyası tüm parçaları birleştirdi, mime türüne sahip bir blob url oluşturdu application/vnd.android.package-archivegörünmez bir ankraj öğesi oluşturuldu ve tarayıcının dosya indirme istemini tetiklemek için programlı olarak tıkladı.
Bu yöntem, doğrudan .APK bağlantılarını ve statik kötü amaçlı URL’ler arayan kaçınılmış otomatik tarayıcılardan oluşan ağ güvenlik filtrelerini atladı.
Kullanıcılar nihayetinde – genellikle kimlik olarak adlandırılan kimlik olarak adlandırılan dosyayı aldıklarında, standart indirme uyarıları gördüler.
Analiz, yükü, 2016 yılında sızdıran kaynak kodu sayısız dalı çeken bir truva atı olan bankbot.remo’nun bir çeşidi olarak ortaya çıktı.
Şablon tabanlı sahte uygulamalar
Sofistike WebSocket teslimatının yanı sıra, operatörler, TWMLWCS’de barındırılan bir M-Pajak Vergi Ödeme Klonu gibi popüler bölgesel uygulamaları taklit eden daha basit sahte siteler dağıttılar.[.]CC.
Bu site, sha-256 karma (e9d3f6211d4ebbe0c5c564b234903fbf5a0dd3f531b518e13ef0dcc8bedc4a6d) tanımlanmış başka bir bankabot yükleyicisi olan doğrudan indirme bağlantıları kullandı.
HTML, Tayland, Vietnam, Portekizli ve Endonezya dil dizelerinin bir karışımını içeriyordu, bu da lokalizasyon mantığı olmadan yeniden kullanılan genel bir şablonun-daha az sofistike alt operatörlerin kesinliği.
DgpyynxZB gibi alanlarda daha fazla varyant açık dizin listelerinde saklandı[.]com ve ykkadm[.]YBÜ.
Bu endeksler, meşru bankacılık uygulamaları gibi maskelenen düzinelerce APK’yi ortaya çıkardı-bca.apk, livin.apk, ocbcmobileid_0220225ac.apk ve daha fazlası-benzersiz SHA-256 karmalarla, ancak tüm yükleme bankbot varyantları ile temasa geçerek yapılandırılmış C2 koorsları yapılandırıldı.[.]com ve admin.congdichvucongdancaquocgia[.]CC.
Operasyonel kalıplar bölgesel odağı ortaya çıkarır
Geçen yıl, araştırmacılar bu kampanyaya bağlı 100’den fazla alan belirlediler. DNS ve kayıt meta verilerinin analizi tutarlı bir ayak izi gösterdi: Alibaba ISS, gname.com pte kullanılmış alanların çoğu. Ltd. Sicil Müdürü ve Paylaşım[.]Net veya CloudFlare Aderler.
TLS sertifikaları, alan çiftleri arasında sıklıkla yeniden kullanıldı ve Singapur ve Endonezya’ya yayılmış aynı IP adreslerine çözüldü ve kümelenmiş barındırma altyapısını ima etti.
Alan kaydı ve ilk görülen DNS sorgularının zamansal analizi, kayıt ve aktif çözünürlük arasında ortalama 10.5 saatlik bir gecikme ile neredeyse aynı ısı haritaları üretti.
Her iki etkinlik de Doğu Asya gündüz saatlerinde (UTC+7 ila UTC+9) zirve yaptı, operatörlerin Endonezya ve Vietnamlı kurbanlara odaklanmasıyla hizalandı ve grubun yerel veya bölgesel varlığını önerdi.
Bu kampanya, tehdit aktörlerinin gelişmiş gizleme tekniklerini-websocket tabanlı parçalanmış indirmeleri-nasıl birleştirdiğini ve güvenlik kontrollerini atlamak ve kullanıcıları yan yükleme kötü amaçlı yazılımlara hile yapmak için kütle-örgü sahtekarlığı nasıl altını çiziyor.
Bu taktiklere rağmen, modern tarayıcıların indirme uyarıları kritik algılama sağlar; Ancak, son kullanıcılar uyanık kalmalıdır.
Kampanyanın Alibaba ISS, Gamame Kayıt Şirketi ve Share-DNS’nin tutarlı kullanımı[.]Net Nameerers, savunuculara farklı uzlaşma göstergeleri sunar.
Kuruluşlar, bilinen C2 alanlarını engellemeli, kamuya açık sitelerdeki olağandışı WebSocket trafiğini izlemeli ve kullanıcıları bu bankacılık truva atlarının sağladığı riski azaltmak için resmi uygulama kaynaklarını doğrulama konusunda eğitmelidir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.