Bu 3.000 Dolarlık Android Truva Atı Bankaları ve Kripto Para Borsalarını Hedefliyor


05 Aralık 2024Ravie LakshmananKripto Para / Mobil Güvenlik

Android Truva Atı

77 kadar bankacılık kurumu, kripto para borsası ve ulusal kuruluş, yeni keşfedilen Android uzaktan erişim truva atının (RAT) hedefi haline geldi. DroidBot.

Cleafy araştırmacıları Simone Mattia, Alessandro Strino ve Federico Valentini, “DroidBot, gizli VNC ve katman saldırı tekniklerini keylogging ve kullanıcı arayüzü izleme gibi casus yazılım benzeri yeteneklerle birleştiren modern bir RAT’tır.” dedi.

“Ayrıca, çift kanallı iletişimden yararlanıyor, giden verileri MQTT aracılığıyla iletiyor ve gelen komutları HTTPS aracılığıyla alıyor, gelişmiş operasyon esnekliği ve dayanıklılık sağlıyor.”

Siber güvenlik

İtalyan dolandırıcılık önleme şirketi, kötü amaçlı yazılımı Ekim 2024’ün sonlarında keşfettiğini söyledi, ancak en azından Haziran ayından bu yana aktif olduğunu ve aylık ücret karşılığında hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında çalıştığını gösteren kanıtlar var. 3.000 dolar.

Android Truva Atı

Teklife erişim için ödeme yapan en az 17 bağlı kuruluş grubu belirlendi. Bu aynı zamanda, kötü amaçlı yazılımın yerleştirildiği özel APK dosyaları oluşturmak ve çeşitli komutlar vererek virüslü cihazlarla etkileşime geçmek için yapılandırmayı değiştirebilecekleri bir web paneline erişimi de içerir.

DroidBot’tan yararlanan kampanyalar öncelikle Avusturya, Belçika, Fransa, İtalya, Portekiz, İspanya, Türkiye ve Birleşik Krallık’ta gözlemlendi. Kötü amaçlı uygulamalar genel güvenlik uygulamaları, Google Chrome veya popüler bankacılık uygulamaları olarak gizleniyor.

Kötü amaçlı yazılım, hassas verileri toplamak ve Android cihazını uzaktan kontrol etmek için ağırlıklı olarak Android’in erişilebilirlik hizmetlerini kötüye kullanmaya dayansa da, komuta ve kontrol için iki farklı protokolden (C2) faydalanması açısından diğerlerinden ayrılıyor.

Android Truva Atı

DroidBot özellikle gelen komutlar için HTTPS’yi kullanırken, virüslü cihazlardan giden veriler MQTT adı verilen bir mesajlaşma protokolü kullanılarak iletiliyor.

Siber güvenlik

Araştırmacılar, “Bu ayrım, operasyonel esnekliğini ve dayanıklılığını artırıyor” dedi. “DroidBot tarafından kullanılan MQTT aracısı, virüs bulaşmış cihazlar ile C2 altyapısı arasında değiş tokuş edilen iletişim türlerini kategorize eden belirli başlıklar halinde düzenlenmiştir.”

Operasyonun arkasındaki tehdit aktörlerinin kesin kökenleri bilinmiyor, ancak kötü amaçlı yazılım örneklerinin analizi bu kişilerin Türkçe konuştuklarını ortaya çıkardı.

Araştırmacılar, “Burada sunulan kötü amaçlı yazılım, bilinen kötü amaçlı yazılım ailelerine oldukça benzediğinden teknik açıdan öne çıkmayabilir” dedi. “Ancak asıl göze çarpan şey, Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) şemasına çok benzeyen operasyonel modelidir; bu, bu tür tehditlerde yaygın olarak görülmeyen bir şeydir.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link