Son aylarda, meşru burs başvuruları olarak maskelenerek Bangladeş’teki öğrencileri hedefleyen sofistike bir Android kötü amaçlı yazılım kampanyası ortaya çıktı.
Bangladeş Eğitim Kurulu kisvesi altında gizlenen bu hileli uygulamalar mali yardım vaat ediyor ve şüphesiz kullanıcıları kısaltılmış URL’lerden APK’ları indirmeye ikna ediyor.
Kurulduktan sonra, kötü amaçlı yazılım gizlice kişisel ve finansal bilgileri toplar, SMS mesajlarını keser ve hatta yetkisiz bankacılık işlemlerini yürütmek için cihaz izinlerini kötüye kullanır.
Virustotal üzerindeki düşük tespit oranı, bu kampanyanın arkasındaki tehdit aktörlerinin geleneksel güvenlik kontrollerinden kaçınmak için büyük çaba harcadığını göstermektedir.
İlk dağıtım büyük ölçüde öğrencilerin onları Appsloads.top ve DownloadApp.website gibi kötü amaçlı APK barındırma sitelerine yönlendiren SMS bağlantıları aldığı smaching kampanyalarına dayanır.
Resmi logolar ve akademik terminoloji ile tamamlanan bir burs başvurusunun cazibesi, kullanıcıların korumasını düşürür ve kurulum olasılığını artırır.
Kurulumdan sonra uygulama, kurbanları Google veya Facebook aracılığıyla oturum açmaya ve tam ad, departman ve enstitü ilişkisi de dahil olmak üzere hassas ayrıntıları girmeye teşvik eder.
Cyble analistleri, sosyal mühendisliğin bu erken aşamasının güven oluşturmak ve sonraki saldırılar için gerekli bilgileri toplamak için kritik olduğunu belirtti.
Kimlik bilgisi hasatını takiben, kötü amaçlı yazılım, erişilebilirlik hizmeti, SMS erişimi, kaplama ve çağrı yönetimi hakları dahil olmak üzere yüksek riskli izinler talep etmek için ilerletir.
Araştırmacılar, bu izinler verildikten sonra, uygulamanın büyük Bangladeş bankaları (örn., “Bkash”, “Nagad,” “MyGP”) ve belirli USSD hizmet kodlarıyla ilişkili anahtar kelimeler içeren gelen metinleri yakalamak için bir SMSBROADCASTRECEIVER kaydettiğini belirlediler.
Kısıtlı mesajlar daha sonra uzak saldırganların daha fazla kötü amaçlı faaliyetleri koordine etmesini sağlayan Firebase tarafından barındırılan bir komut ve kontrol (C2) sunucusuna iletilir.
Başarılı izin artışı üzerine Sikkahbot en tehlikeli aşamasına geçer: otomatik bankacılık işlemleri.
Erişilebilirlik hizmetinden yararlanan kötü amaçlı yazılım, ön plan uygulamalarını sürekli olarak izler ve BKASH, NAGAD veya Dutch-Bangla Bank gibi hedeflenen bankacılık uygulamalarını tespit ederken, C2 sunucusundan bir kerelik pim alır.
Kısa bir kod snippet’i, kullanıcı girişini enjekte etme işlemini göstermektedir:-
AccessibilityNodeInfo node = rootNode.findFocus(AccessibilityNodeInfo.FOCUS_INPUT);
Bundle args = new Bundle();
args.putCharSequence(AccessibilityNodeInfo.ACTION_ARGUMENT_SET_TEXT_CHARSEQUENCE, pin);
node.performAction(AccessibilityNodeInfo.ACTION_SET_TEXT, args);
node.performAction(AccessibilityNodeInfo.ACTION_CLICK);Bu rutin, kullanıcı etkileşimi olmadan otomatik oturum açmasına izin verir.
.webp)
Bankacılık uygulamaları aktif değilse, kötü amaçlı yazılım sunucudan alınan USSD kodlarını yürütür, giriş alanlarını doldurur ve aktif bir internet bağlantısı olmadan fon transferlerini başlatmak için USSD iletişim kutusunda “Gönder” veya “Tamam” etiketli düğmeleri çağırır (bkz. Şekil 8 – USSD kodunu arayarak).
Enfeksiyon mekanizması ve kalıcılık
Sikkahbot’un enfeksiyon mekanizması sosyal mühendislik ve gizli izin istismarının bir karışımıdır.
İlk APK kurulumundan sonra, kötü amaçlı yazılım APK dosyasını gizli bir dizine kopyalar ve bir cihaz yöneticisi olarak kaydeder ve kaldırma girişimlerinin yönetici kilit bildirimlerini hızlı bir şekilde denemesini sağlar.
Alıcı bileşenlerini yeniden başlatmalarda devam etmek için AndroidManifest.xml’ye enjekte eder ve Firebase C2 uç noktasına periyodik olarak temasa geçer. https://update-app-sujon-default-rtdb.firebaseio.com yeni modüller almak için.
.webp)
Erişilebilirlik hizmetini kötüye kullanarak, kötü amaçlı yazılım, güvenlik bilincine sahip kullanıcılar tarafından devre dışı bırakılırsa kendi hizmetlerini yeniden etkinleştirebilir.
Kalıcı cihaz yöneticisi hakları, belirgin ilan edilmiş alıcılar ve periyodik C2 yoklama kombinasyonu, Sikkahbot’u kaldırma ve algılamaya karşı son derece esnek hale getirir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.