77 kadar bankacılık kurumu, kripto para borsası ve ulusal kuruluş, yeni keşfedilen Android uzaktan erişim truva atının (RAT) hedefi haline geldi. DroidBot.
Cleafy araştırmacıları Simone Mattia, Alessandro Strino ve Federico Valentini, “DroidBot, gizli VNC ve katman saldırı tekniklerini keylogging ve kullanıcı arayüzü izleme gibi casus yazılım benzeri yeteneklerle birleştiren modern bir RAT’tır.” dedi.
“Ayrıca, çift kanallı iletişimden yararlanıyor, giden verileri MQTT aracılığıyla iletiyor ve gelen komutları HTTPS aracılığıyla alıyor, gelişmiş operasyon esnekliği ve dayanıklılık sağlıyor.”
İtalyan dolandırıcılık önleme şirketi, kötü amaçlı yazılımı Ekim 2024’ün sonlarında keşfettiğini söyledi, ancak en azından Haziran ayından bu yana aktif olduğunu ve aylık ücret karşılığında hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında çalıştığını gösteren kanıtlar var. 3.000 dolar.
Teklife erişim için ödeme yapan en az 17 bağlı kuruluş grubu belirlendi. Bu aynı zamanda, kötü amaçlı yazılımın yerleştirildiği özel APK dosyaları oluşturmak ve çeşitli komutlar vererek virüslü cihazlarla etkileşime geçmek için yapılandırmayı değiştirebilecekleri bir web paneline erişimi de içerir.
DroidBot’tan yararlanan kampanyalar öncelikle Avusturya, Belçika, Fransa, İtalya, Portekiz, İspanya, Türkiye ve Birleşik Krallık’ta gözlemlendi. Kötü amaçlı uygulamalar genel güvenlik uygulamaları, Google Chrome veya popüler bankacılık uygulamaları olarak gizleniyor.
Kötü amaçlı yazılım, hassas verileri toplamak ve Android cihazını uzaktan kontrol etmek için ağırlıklı olarak Android’in erişilebilirlik hizmetlerini kötüye kullanmaya dayansa da, komuta ve kontrol için iki farklı protokolden (C2) faydalanması açısından diğerlerinden ayrılıyor.
DroidBot özellikle gelen komutlar için HTTPS’yi kullanırken, virüslü cihazlardan giden veriler MQTT adı verilen bir mesajlaşma protokolü kullanılarak iletiliyor.
Araştırmacılar, “Bu ayrım, operasyonel esnekliğini ve dayanıklılığını artırıyor” dedi. “DroidBot tarafından kullanılan MQTT aracısı, virüs bulaşmış cihazlar ile C2 altyapısı arasında değiş tokuş edilen iletişim türlerini kategorize eden belirli başlıklar halinde düzenlenmiştir.”
Operasyonun arkasındaki tehdit aktörlerinin kesin kökenleri bilinmiyor, ancak kötü amaçlı yazılım örneklerinin analizi bu kişilerin Türkçe konuştuklarını ortaya çıkardı.
Araştırmacılar, “Burada sunulan kötü amaçlı yazılım, bilinen kötü amaçlı yazılım ailelerine oldukça benzediğinden teknik açıdan öne çıkmayabilir” dedi. “Ancak asıl göze çarpan şey, Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) şemasına çok benzeyen operasyonel modelidir; bu, bu tür tehditlerde yaygın olarak görülmeyen bir şeydir.”