Bilgisayar korsanları, uzaktan komut yürütme ile APK kötü amaçlı yazılımları yaymak için 607 kötü niyetli alandan yararlanıyor

Bforea’daki Prebrime Labs, bilgisayar korsanlarının geçen ay boyunca sahte telgraf messenger uygulama dosyalarını (APKS) yaymak için 607 haydut alandan oluşan geniş bir ağ kullandıkları karmaşık bir siber tehdit operasyonu keşfetti.

Öncelikle Gname Kayıt Şirketi aracılığıyla kaydedilen ve Çince’de içerik barındırma olan bu alanlar, kullanıcıları zararlı yazılımlar yüklemeye yönlendirmeyi amaçlayan büyük ölçekli bir kimlik avı ve kötü amaçlı yazılım kampanyasının bir parçasıdır.

Operasyon, kurbanları merkezi bir alana yönlendiren bu sitelerdeki QR kodlarından yararlanır,[.]Favicons, temalar ve doğrudan APK indirmeleri dahil olmak üzere resmi telgraf özelliklerini taklit eden Asya.

Bu merkezi yeniden yönlendirme, APK’ların yaklaşık 60MB ve 70MB olarak boyutlandırılmış, MD5 Hashes ACFF2BF2A53F7F02DEF2F105C196 ve EFDDC2DDDC849517A06B89095B34647 ve SHA-1 Hashess ile verimli bir şekilde verilmesini sağlar. 9650ae4f4cb81602700bafe81d96e8951aeb6aa5 ve 6f64366728e9bc1c48b497f84f5c4d252fe1bc.

Kimlik avı sayfaları, “kağıt uçak resmi web sitesi giriş kağıt düzlemi resmi web sitesi kağıt uçak resmi web sitesi indirme | kağıt uçak resmi web sitesi giriş | kağıt uçak resmi web sitesi Çin sürümü | kağıt uçak resmi web sitesi girişi” gibi Çince başlıkları içeren bir görünüm benimsiyor.

Android güvenlik açıklarının sömürülmesi

Teknik olarak, kötü niyetli APS’ler, eski V1 imza şeması kullanılarak imzalanır ve onları Android sürümleri 5.0 ila 8.0’daki Janus güvenlik açığına duyarlı hale getirir.

Rapora göre, bu kusur, saldırganların orijinal imzayı korurken, güvenlik kontrollerini atlarken ve savunmasız cihazlarda tespit edilmemiş kurulumu sağlayan meşru uygulamaları kötü amaçlı değişikliklerle yeniden paketlemesine izin veriyor.

APKS, HTTP, FTP ve DownloadManager gibi temiz metin trafik protokollerini kullanır, güvenli iletim standartlarını atlatır ve hassas kullanıcı verilerini sömürüye maruz bırakan Read_external_Storage ve Write_external_Storage gibi geniş izinler verir.

Ayrıca, kötü amaçlı yazılım, gerçek zamanlı uzaktan komut yürütme için MediaPlayer çağrılarını ve soket tabanlı geri çağrıları entegre eder, veri eksfiltrasyonunu, cihaz gözetimini ve yetkisiz kontrolü kolaylaştırır.

Bu kampanyadaki ortak üst düzey alanlar (TLDS) .com (316 örnek), .top (87), .xyz (59), .online (31) ve .Site (24), “telgraf (” “telgraf”, “apktelegram” ve “apktelegram” gibi yazım hataları içerir.

Https://telegramt.net/static/js/ajs.js?v=3 numaralı telefondan dikkate değer bir JavaScript dosyası, bir izleme mekanizması olarak hizmet eder, cihaz türlerini (Android, iOS veya PC) tespit eder, tarayıcı ve etki alanı verileri toplar ve dszb77’de aktarma dszb77’de aktarılır[.]Com Analytics için, özellikle Android hedefleri için uygulama indirmelerini teşvik eden yüzen pankartlara ipucu veren yorum koduyla.

Firebase Kaçırma Riskleri

Kritik bir gözlem, devre dışı bırakılmış veya terk edilmiş görünen https://tmessages2.firebaseio.com adresindeki Firebase veritabanını içerir ve rakipler için aynı ad altında yeni bir proje kaydetme ve eski uygulamalardan kaçma bağlantılarını kaydetme fırsatı yaratır.

Bu kalıcılık mekanizması, orijinal faillerden aktif katılım olmadan bile kampanyanın uzun ömürlülüğünü sağlar.

Bu tür tehditlere karşı koymak için kuruluşlar, kötü niyetli alanlar, çapraz referans APK’ları, URL’ler ve çoklu tehdit zekası beslemelerine karşı sürekli otomatik izleme uygulamalı, doğrulanmamış kaynaklardan indirmeleri kısıtlamalı ve önleyici alan yayından kaldırma veya kara liste izlemelidir.

Bu kampanya, mobil kötü amaçlı yazılım dağıtımındaki gelişen taktiklerin altını çizerek kimlik avını küresel olarak kullanıcı cihazlarından ödün vermek için gelişmiş sömürü ile harmanlıyor.

Uzlaşma Göstergeleri (IOCS)

Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.