Siber güvenlik araştırmacıları, sofistike sahte Google Play Store web siteleri aracılığıyla Android kullanıcılarını hedefleyen spynote kötü amaçlı yazılım kampanyalarının yeniden canlandığını belirlediler.
Bu saldırıların arkasındaki kötü niyetli aktör, yeni raporlardan bu yana yeni anti-analiz teknikleri uyguladı ve aldatıcı taktiklerini genişletti ve mobil cihaz güvenliği için kalıcı bir tehdit gösterdi.
Aldatıcı kampanya popüler uygulamalara çarpıyor
Tehdit oyuncusu, kopyalanan HTML ve CSS kodunu kullanarak meşru uygulama kurulum arayüzlerini mükemmel bir şekilde taklit eden sahte Google Play Store sayfalarını çalıştırmaya devam ediyor.
Bu aldatıcı web siteleri, Ihappy ve Camsoda gibi sosyal medya platformları, 8 Ball Pool ve Block Blast gibi oyun uygulamaları ve Chrome ve Dosya Yöneticileri de dahil olmak üzere yardımcı uygulamalar dahil olmak üzere birçok kategoride popüler uygulamalar arayan kullanıcıları hedeflemektedir.
Kötü niyetli altyapı, çoklu göstergelerde tutarlı kalıplar gösterir:
- IP adresleri: 154.90.58.26 ve 199.247.6.61 civarında yoğunlaşmıştır.
- Barındırma sağlayıcıları: LightNode Limited ve Vultr Holdings LLC.
- Alan Adı Kayıt Şirketleri: Namesilo LLC ve Xinnet Technology Corporation.
- SSL sertifikaları: Meşruiyet görünümü için R10 ve R11 ihraççıları.
- İsim verenler: dnsowl.com ve xincache.com.
- Web Sunucusu: nginx mimarisi.
Kullanıcılar bu sahte sayfalardaki “Yükle” düğmesini tıkladığında, JavaScript işlevleri, kötü niyetli APK dosyalarının doğrudan hileli web sitelerinden indirilmesini otomatik olarak tetikler.
Gelişmiş Kırılma Teknikleri
En son Spynote örnekleri, güvenlik tespitinden kaçınmak için tasarlanmış sofistike çok aşamalı bir enfeksiyon süreci kullanır.
İlk damlalık APK, uygulamanın açık paket adından türetilen 16 bayt AES şifre çözme anahtarı gerektiren şifreli varlıklar içerir.
Analiz edilen örneklerde, “rogcysibz.wbnyvkrn.sstjjs” paket adı, yük çıkarma için gerekli olan “6264663236314386461323836333631” anahtarını oluşturur.
Kötü amaçlı yazılım, Android’in sınıf yükleyicisini çalışma zamanında değiştiren bir kod enjeksiyon tekniği olan Dex Element Enjeksiyonu kullanır.
Bu, işletim sistemini meşru uygulama işlevleri üzerinde kötü amaçlı kodlara öncelik vermeye zorlar, bu da spynot’un uygulama davranışını kaçırmasını ve hassas verileri engellemesini sağlar.
Droper, varlıklar/temel klasörden şifrelenmiş dosyaları birleştirir, AES şifrelemesini kullanarak bunları şifresini çözer ve tam spynot yükünü ortaya çıkarmak için sonucu atar.
Son sürümler, kod boyunca “O” “O” ve “0” karakterlerinin rastgele varyasyonlarını kullanarak kontrol akışı gizlemesi ve tanımlayıcı aşımı uygular.
Bu teknik, güvenlik araştırmacıları ve otomatik algılama sistemleri tarafından statik analiz çabalarını önemli ölçüde karmaşıklaştırmaktadır.
Kapsamlı gözetim gizliliğini tehdit ediyor
Rapora göre Spynote, endişe verici gözetim yeteneklerine sahip kapsamlı bir uzaktan erişim Truva atı olarak işlev görüyor.
Kötü amaçlı yazılım, cihaz kameralarını ve mikrofonlarını uzaktan kontrol edebilir, telefon görüşmelerini yönetebilir ve keyfi komutlar yürütebilir.
Anahtarlama işlevselliği, iki faktörlü kimlik doğrulama kodlarını çalmak için Android’in erişilebilirlik hizmetlerini kötüye kullanırken uygulama kimlik bilgilerini özellikle hedefler.
Kötü amaçlı yazılım, tıklama için kaplama saldırıları gerçekleştirir ve ek kullanıcı kimlik bilgilerini yakalamak için aldatıcı arayüzler görüntüleyebilir.
Yönetici ayrıcalıkları verildiğinde Spynote, cihaz verilerini uzaktan silme, ekranları kilitleme veya ek kötü amaçlı uygulamalar yükleme olanağı kazanır.
Güvenlik uzmanları, tarayıcı geliştiricilerinin kötü amaçlı site algılamasını güçlendirmesini, Android güvenlik sağlayıcılarının otomatik uygulama analizini geliştirmesini ve mobil VPN sağlayıcılarının bu gelişen tehditlerle mücadele etmek için ağ düzeyinde filtrelemeyi entegre etmesini önermektedir.
Bu kampanyanın kalıcı doğası, mobil sıçanların tüketici gizliliği ve finansal güvenliğine yönelik riskini vurgulamaktadır.
Uzlaşma Göstergeleri (IOCS):
Kötü amaçlı yazılım teslimi
| IP/Etki Alanı | Kötü niyetli dosya |
|---|---|
| 154.90.58[.]26 | – |
| MCSPA[.]tepe | – |
| pyfcf[.]tepe | 001.APK |
| ATDFP[.]tepe | Elleri tutma |
| fkqed[.]tepe | 001.APK |
| Mygta[.]tepe | Blok patlama.apk |
| fsck[.]tepe | yome.apk |
| megha[.]tepe | Ihappy.apk |
| Pyane[.]tepe | Çevrimiçi Satın Alımlar |
| bekmc[.]tepe | Tmmtmm.apk |
| Kasmc[.]tepe | Faísmeintical.apk |
| fhkaw[.]tepe | Kiscia.apk |
| hytsa[.]tepe | Chrome.apk |
| CFDTA[.]tepe | Faísmeintical.apk |
| hariç[.]tepe | Chrome.apk |
| Daha[.]tepe | Glamlive.apk |
| SPWTT[.]tepe | Lovevideo.apk |
| atubh[.]tepe | Chrome.apk |
| KSHYQ[.]tepe | 004.APK |
| CTDQA[.]tepe | 003.APK |
| KYHBC[.]tepe | 002.APK |
| gtuaw[.]tepe | Chrome.apk |
| snbyp[.]tepe | Benim 2025.Apk dosyalarım |
| Orrs[.]tepe | Camsoda.apk |
| PKDCP[.]tepe | Faísmeintical.apk |
| Byhga[.]tepe | 8 Ball Pool.apk |
| bcgrt[.]tepe | Güzellik.apk |
| Kymyjh[.]tepe | 001.APK |
Komut ve Kontrol:
| IP/Etki Alanı |
|---|
| 199.247.6[.]61 |
| MskisdaKW[.]tepe |
| fsdlao[.]tepe |
| Askkpl67[.]tepe |
| CNHAU1WQ[.]tepe |
| TY58AW[.]tepe |
| Sakjhu5588[.]tepe |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!