Bankacılık ve Kripto Kullanıcılarını Hedefleyen Yeni DroidBot Android Casus Yazılımı

   Aralık 7, 2024  Posted in HackRead


ÖNEMLİ NOKTALAR

  • DroidBot Keşfi: 2024 yılının ortalarında, Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) olarak çalışan yeni bir Android casus yazılımı olan DroidBot tanımlandı.
  • Hedefler ve Taktikler: Kendini güvenlik veya bankacılık uygulaması olarak gizleyerek ve Android Erişilebilirlik Hizmetlerinden yararlanarak finansal kurumları ve kullanıcıları hedef alıyor.
  • Yetenekler: DroidBot mesajları yakalayabilir, tuş vuruşlarını günlüğe kaydedebilir, ekran görüntüleri yakalayabilir ve cihazları uzaktan kontrol edebilir.
  • Ortaklık Ağı: 17 bağlı grup tarafından kullanılan bu saldırı, Avrupa çapında 77 hedefe saldırdı ve genişleme olasılığı var.
  • Önleme İpuçları: Bilinmeyen uygulamalardan kaçının, cihazları güncelleyin ve güvenilir antivirüs araçlarını kullanın.

Cleafy Labs tarafından yakın zamanda yapılan bir keşif, 2024 ortalarında tanımlanan ve MaaS (Hizmet Olarak Kötü Amaçlı Yazılım) operasyon modeli üzerinde çalışan DroidBot adlı yeni bir Android casus yazılım tehdidine ışık tuttu.

Meşru Hizmet Olarak Yazılım (SaaS) modeline benzer şekilde, kötü amaçlı yazılım geliştiricileri, MaaS modelindeki kötü amaçlı yazılıma erişim kiralayarak siber suçluların ileri düzey teknik uzmanlık gerektirmeden saldırı başlatmasını kolaylaştırır.

Bankacılık ve Kripto Kullanıcılarını Hedefleyen Yeni DroidBot Android Casus Yazılımı
Rusya’daki bir forumda casus yazılım reklamı (Kaynak: Cleafy Labs)

Cleafy Labs’in araştırmasına göre DroidBot, Avrupa çapındaki finans kurumlarını ve bireyleri hedef alan gelişmiş bir Android Uzaktan Erişim Truva Atı (RAT)’tır. Bu casus yazılımın Türkçe konuşan bir grup tarafından geliştirildiğine inanılıyor ve hassas bilgileri çalmak ve virüslü cihazları kontrol etmek için gelişmiş tekniklerden yararlanıyor.

Araştırma, DroidBot’un bankacılık müşterileri, kripto para borsası kullanıcıları ve devlet çalışanları da dahil olmak üzere çok çeşitli kurbanları hedef almak üzere tasarlandığını ortaya çıkardı. Cihazların güvenliğini tehlikeye atmak için kendisini “genel güvenlik uygulamaları, Google hizmetleri veya popüler bankacılık uygulamaları” gibi göstermek ve Android Erişilebilirlik Hizmetlerini kötü niyetli faaliyetleri için kullanmak gibi çeşitli taktikler kullanıyor.

DroidBot, cihazınıza virüs bulaştırdıktan sonra SMS mesajlarına müdahale edebilir, tuş vuruşlarını kaydedebilir ve cihaz ekranının ekran görüntülerini yakalayabilir. Ayrıca cihazı uzaktan kontrol ederek saldırganların arama yapmasına, mesaj göndermesine ve hassas verilere erişmesine olanak tanıyor.

Bu casus yazılım, gizli VNC ve katman yeteneklerinin casus yazılım benzeri özelliklerle bir kombinasyonunu sunar. Bir keylogger ve izleme rutinleri içerir, bu da kullanıcının müdahalesini mümkün kılar, bu da onu gözetleme ve kimlik bilgileri hırsızlığı için güçlü bir araç haline getirir.

Ek olarak, DroidBot’un çift kanallı iletişim mekanizması, Copybara ve BRATA/AmexTroll bankacılık truva atları tarafından da kullanılan MQTT protokolünü kullanarak giden veri aktarımına ve HTTPS üzerinden gelen komutlara izin vererek operasyonel esnekliğini ve dayanıklılığını artırır.

DroidBot’un en endişe verici yönü, her biri benzersiz bir tanımlayıcı kullanarak tanımlanan 17 farklı bağlı kuruluş grubuyla MaaS modeli üzerinde çalışmasıdır. Bu, siber suçluların kötü amaçlı yazılıma erişim kiralamasına olanak tanır ve gelişmiş teknik uzmanlık gerektirmeden saldırı başlatmalarını kolaylaştırır.

Blog yazısında araştırmacılar, “Analiz sırasında bankacılık kurumları, kripto para borsaları ve ulusal kuruluşlar da dahil olmak üzere 77 farklı hedef belirlendi ve bu da bunun yaygın etki potansiyelinin altını çizdi” dedi.

DroidBot şu anda aktif geliştirme aşamasındadır; kök kontrolleri gibi bazı işlevler yer tutucudur ve özellikler örnekler arasında farklılık gösterir. Bu tutarsızlıklara rağmen, kötü amaçlı yazılım potansiyel gösterdi; Birleşik Krallık, İtalya, Fransa, İspanya, Türkiye ve Portekiz’deki kullanıcıları hedef alıyor ve muhtemelen Latin Amerika bölgelerine de yayılıyor.

“Kod içerisinde bu bilgilerin 4 ana dil için özelleştirilmiş olduğunu görebiliyoruz: İngilizce, İtalyan, İspanyolVe Türkçe“Cleafy Labs açıkladı.

Kendinizi DroidBot ve benzeri tehditlerden korumak için bilinmeyen kaynaklardan uygulama indirirken dikkatli olun, cihazlarınızı en son güvenlik yamalarıyla güncel tutun ve güvenilir antivirüs yazılımı kullanın.

  1. Google Play’deki İlk Mobil Kripto Süzücü 70 Bin Dolar Çaldı
  2. Google Play Store Uygulamalarında Bulunan Casus Yazılım, 2 Milyon İndirme
  3. Google, DDoS Botnet Olarak Açığa Çıkan Swing VPN Uygulamasını Kaldırdı
  4. Kötü amaçlı yazılım bulaşmış Minecraft mod paketleri Google Play Store’u vurdu
  5. Play Store’daki Bu 8 Uygulama Android/FakeApp Truva Atı İçeriyor
  6. Google Play’de 2 milyon kullanıcı tarafından yüklenen 35 kötü amaçlı uygulama bulundu





Source link