Çince konuşan tehdit aktörleri tarafından düzenlenen sofistike bir hizmet olarak kötü amaçlı yazılım operasyonu, devasa sahtekarlık için tasarlanmış güçlü bir uzaktan erişim Truva atı olan PlayPraetor’un konuşlandırılmasıyla dünya çapında 11.000’den fazla Android cihazını başarıyla tehlikeye attı.
Kampanya, mobil bankacılık kötü amaçlı yazılım operasyonlarında önemli bir artışı temsil ediyor ve BOTNET haftada 2.000’den fazla yeni enfeksiyon endişe verici bir oranda genişliyor.
PlayPraetor kötü amaçlı yazılım, kurbanları kötü amaçlı uygulamalar indirmek için kandırmak için meşru Google Play mağaza sayfalarını taklit eden aldatıcı bir dağıtım stratejisi kullanır.
Kurulduktan sonra, kötü amaçlı yazılım, tehlikeye atılan cihazlar üzerinde kapsamlı gerçek zamanlı kontrol elde etmek için Android’in erişilebilirlik hizmetlerinden yararlanır ve operatörlerin doğrudan kurbanın cihazından hileli işlemler yapmasını sağlar.
Operasyon, küresel olarak yaklaşık 200 bankacılık başvurusunu ve kripto para birimi cüzdanını hedefler ve finansal sahtekarlık yeteneklerinin genişliğini gösterir.
Coğrafi analiz, rastgele yaygın enfeksiyondan ziyade stratejik olarak odaklanmış bir kampanya ortaya koymaktadır. Avrupa, Portekiz, İspanya ve Fransa’da özellikle yüksek konsantrasyonlara sahip olan tüm tehlikeye atılan cihazların% 58’ini oluşturan en ağır etkiyi taşıyor.
Cleafy analistleri, kampanyanın sırasıyla Fas, Peru ve Hong Kong’da dikkate değer sıcak noktalarla Afrika (%22), Amerika (%12) ve Asya (%8) arasında önemli bir varlık sağladığını belirledi.
Kötü amaçlı yazılımların teknik sofistike, çoklu protokol iletişim mimarisinde belirgindir. Enfekte olan 11.000 cihazdan yaklaşık 7.931’i, bu cihazları tam operatör kontrolüne etkili bir şekilde yerleştiren% 72 aktivasyon oranını temsil eden gerekli erişilebilirlik hizmetini başarıyla etkinleştirmiştir.
Gelişmiş iletişim altyapısı ve komut yürütme
PlayPraetor, enfekte olmuş cihazlar üzerinde kalıcı kontrol sağlayan sağlam bir üç katmanlı iletişim stratejisi uygular.
Kötü amaçlı yazılım, HTTP/HTTPS protokolleri aracılığıyla, sert kodlanmış komut ve kontrol alanları aracılığıyla sistematik olarak yineleyen temas başlatır. /app/searchPackageName uç nokta.
Bu esnek kalp atışı mekanizması, altyapı yayından kaldırmalarına karşı hata toleransı sağlar. Bağlantı kurulduktan sonra, kötü amaçlı yazılım gerçek zamanlı işlemler için iki özel kanalı etkinleştirir.
.webp)
Port 8282 üzerindeki kalıcı bir WebSocket bağlantısı, çift yönlü bir komut kanalı oluştururken, 1935 bağlantı noktasındaki bir RTMP akışı, cihaz ekranının uç noktadan canlı video gözetimini sağlar rtmp://[C2]:1935/live/.
Bu çift kanallı yaklaşım, operatörlerin hileli işlemler yaparken kurban faaliyetlerini gerçek zamanlı olarak izlemelerini sağlar.
.webp)
WebSocket kanalı altı birincil komut türünü işler: update Yapılandırma değişiklikleri için, init Kampanya kaydı için, alert_arr Yer paylaşımı yapılandırması için, report_list Hedef uygulama yönetimi için, heartbeat_web bağlantı bakımı için ve message Alt komut infaz için.
.webp)
Veri püskürtme, özel HTTP uç noktaları ile oluşur /app/saveDevice Cihaz parmak izi için, /app/saveContacts Ve /app/saveSms Kişisel veri hasat için ve /app/saveCardPwd Finansal kimlik hırsızlığı için.
Operasyon, merkezi altyapıyı paylaşırken bağımsız bağlı kuruluş yönetimini destekleyen ve bu suç girişiminin profesyonel doğasını gösteren çok kiracılı mimariyi içeren sofistike bir Çince kontrol paneli kullanıyor.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin