Sofistike bir siber suçlu kampanya, meşru hükümet kimlik başvuruları ve ödeme hizmetleri olarak gizlenmiş bankacılık truva atlarıyla Endonezya ve Vietnam Android kullanıcılarını hedefleyen ortaya çıktı.
Yaklaşık Ağustos 2024’ten bu yana aktif olan kötü niyetli işlem, 100’den fazla alandan oluşan kapsamlı bir altyapı sürdürürken, Bankbot Truva Ailesi’nin varyantlarını sunmak için gelişmiş kaçırma teknikleri kullanıyor.
Tehdit aktörleri, sahte Google Play mağaza sayfaları ve M-Pajak Vergi Ödeme Hizmetleri ve Dijital Kimlik Doğrulama Sistemleri gibi devlet hizmet uygulamaları kullanmaları yoluyla önemli operasyonel sofistike olduğunu göstermektedir.
Kampanya, resmi hükümet platformlarındaki kullanıcı güveninden yararlanarak, kurbanları hassas finansal bilgileri ve kimlik bilgilerini çalabilen bankacılık truva atlarını içeren kötü amaçlı APK dosyalarını indirmeye aldatan son derece ikna edici kopyalar yaratıyor.
Domaintools analistleri, sahte Google Play Store web siteleriyle ilişkili şüpheli site öğelerini izleyerek kötü amaçlı yazılım dağıtım modelini belirledi.
Araştırmacılar, geleneksel ağ güvenlik kontrollerini atlamak ve siber güvenlik çerçeveleri tarafından yaygın olarak kullanılan otomatik algılama sistemlerinden kaçmak için tasarlanmış ayrıntılı bir dağıtım mekanizmasını ortaya çıkardılar.
Gelişmiş WebSocket tabanlı dağıtım mekanizması
Tehdit aktörleri, geleneksel güvenlik önlemlerini atlatmak için WebSocket teknolojisini kullanan dikkate değer derecede sofistike bir kötü amaçlı yazılım dağıtım sistemi kullanırlar.
Güvenlik tarayıcılarının kolayca algılayabileceği doğrudan indirme bağlantıları sağlamak yerine, kötü amaçlı siteler, kurban tarayıcıları ve komut sunucuları arasında gerçek zamanlı çift yönlü iletişim kanalları oluşturmak için soket.io kitaplığını kullanır.
.webp)
Kullanıcılar Android İndir düğmesini tıkladığında, sistem komutu kullanarak bir WebSocket bağlantısı başlatır socket. Emit('startDownload', …).
Sunucu, kötü amaçlı APK dosyasını tam bir dosya aktarımı yerine parçalanmış parçalara aktararak yanıt verir.
Tarayıcı, bu parçaları olarak kodlanmış olay dinleyicileri aracılığıyla toplar. socket. On('chunk', (chunk) => { chunks. Push(chunk); });aynı anda meşru bir indirme sürecinin yanılsamasını koruyan ilerleme güncellemeleri alırken.
Tamamlandığında, sistem alınan tüm parçaları bellekte birleştirir ve mime türünü atar application/vnd.android.package-archive uygun bir APK dosya yapısı oluşturmak için.
Dağıtım mekanizması daha sonra geçici bir yerel URL üretir ve programlı olarak görünmez bir indirme bağlantısını tetikler ve tarayıcının standart dosya indirme arabirimini başlatır.
Bu ayrıntılı işlem, kötü amaçlı yazılım dağıtımını şifreli WebSocket trafiği olarak etkili bir şekilde gizler ve kötü amaçlı yüklerin, kötü niyetli bağlantılar için web sitelerini tarayan statik URL tabanlı güvenlik tarayıcılarına görünmez kalırken doğrudan APK indirmelerini engellemek üzere yapılandırılmış ağ güvenlik sistemlerini atlamasına olanak tanır.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
