Truva Savaşı’nın meşhur at numarası, kullanıcının açıldığında zarar veren bir dosyayı farkında olmadan indirdiği siber saldırı terimine ilham kaynağı oldu.
HUMAN’ın Satori Ekibi, Truva Atı’nın gizli tehlikesini yansıtan, şifreli ve karmaşık bir dolandırıcılık planı ağı olan BADBOX’u ortaya çıkarıyor.
BADBOX, donanım tedarik zincirlerinde ürün yazılımı arka kapılarını gizleyen, dünya çapında bir tüketici ürünleri ağıdır. Ayrıca evlere ve ofislere sızarak bir komuta ve kontrol sunucusuna bağlanarak çeşitli dolandırıcılık faaliyetlerine yol açıyorlar.
BADBOX, ABD devlet okulları da dahil olmak üzere dünya çapında 74.000’den fazla Android cihazına bulaşarak önemli bir iz bıraktı.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Çin Androidi Arka Kapılı Cihazlar
Çinli üreticiler, üretim sırasında çeşitli Android cihazlarına Triada tabanlı ürün yazılımı arka kapılarını yerleştiriyor.
Bu kötü amaçlı yazılım, kapsamlı erişim sağlayarak siber suçluların ödemelere müdahale etmesine ve kısa mesajları değiştirmesine olanak tanıyarak onu güçlü bir araç haline getiriyor.
PEACHPIT, sahte bir SSP’ye bağlı 39 Android, iOS ve CTV uygulamasından oluşuyor. Cihaz ayrıntılarını manipüle ettiler ve günde 4 milyar reklam isteği oluşturarak 121.000 Android ve 159.000 iOS cihazına bulaştılar; iOS cihazları yalnızca indirilebilir PEACHPIT uygulamalarından etkilendi.
BADBOX’un konut proxy modülü, cihazları küresel bir proxy ağının parçası haline getirerek kullanıcıları potansiyel olarak siber suç faaliyetlerine maruz bırakıyor. WhatsApp ve Gmail hesaplarının oluşturulmasına, tespit edilmekten kaçınmasına olanak tanır ve çeşitli kötü amaçlı amaçlarla kullanılabilir.
Etkilenen cihazlar C2 sunucularına bağlanarak aşağıdakiler de dahil olmak üzere çeşitli dolandırıcılık türleri için modüller enjekte ediyor:-
- Reklam sahtekarlığı
- Konut proxy düğümleri
- Sahte hesaplar
- Yetkisiz kod kurulumu
PEACHPIT’teki gizli bir WebView modülü, operasyonu finanse etmek için sahte reklam istekleri üretir.
2022’nin ortalarında HUMAN’ın Satori Ekibi, şüpheli davranışlar gösteren bir Android uygulamasını araştırdı ve bu, Flyermobi’ye bağlanan ilgili uygulamaların keşfedilmesine yol açtı.[.]com alanı.
Ayrı bir araştırmacı olan Daniel Milisic de Flyermobi’ye bağlanan bir T95 kutusunu fark ederek bu cihaza olan ilgiyi artırdı.
Şüpheyi önlemek için, T95 cihazları tipik TV yayın üniteleri gibi görünüyor ve bu da onları plan için ideal bir ürün haline getiriyor.
Bu cihazların genel yapısı herkesin bunları özelleştirmesine ve dağıtmasına olanak tanır. Bir T95’e sahip olmak, Satori araştırmacılarının iletişimlerinde tersine mühendislik yapmalarına yardımcı oldu.
BADBOX’un kalbinde yer alan Corejava, iyi ele alınan bir konudur. Satori’nin incelemesi, BADBOX’un kötü amaçlı özelliklerini destekleyen, hayati bir Android işletim sistemi bileşeni olan libandroid_runtime.so değişikliklerini ortaya çıkardı.”
Libandroid_runtime.so’nun şifresini çözen Satori, daha fazla talimat için T95 cihazı başlatıldığında bir C2 sunucusuna bağlanan com.jar APK’sını ortaya çıkardı.
BADBOX bulaşmış cihaz C2’ye bağlanır, proxy ve veri akışı adreslerini alır ve bunlar arasında proxy görevi görür. Bağlantı zaman aşımına uğrarsa C2, sunucuya 404 hatasını tetikleyen ve proxy bağlantısını kapatan bir istek gönderir.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Play Koruma sertifikasına sahip olmadıkları için marka dışı cihazlardan kaçının.
- Kullanıcılar cihazlarının sertifika durumunu doğrulamalıdır.
- Klon uygulamalara karşı dikkatli olun ve indirdiğiniz dosyaların kaynağını öğrenin.
- Cihazınız garip davranıyorsa güvenliği ihlal edilmiş uygulamaları kaldırmak için fabrika ayarlarına sıfırlamayı düşünün.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.