Dikkat! Google Play Güncellemeleri Olarak Android Bankacılığı Truva Atı Taklit Ediyor


Dikkat!  Google Play Güncellemeleri Olarak Android Bankacılığı Truva Atı Taklit Ediyor

Mayıs 2024’te, yer paylaşımı saldırıları yoluyla kimlik bilgilerini çalan ve tam cihaz kontrolü için çeşitli işlevlere sahip yeni bir Android bankacılık Truva atı olan Antidot ortaya çıktı.

Antidot, hassas bilgileri yakalamak için VNC, keylogging, ekran kaydı ve çağrı yönlendirmeyi kullanır.

Ayrıca kişileri ve SMS mesajlarını toplayabilir, USSD isteklerini başlatabilir ve cihazı kilitleyebilir/kilidini açabilir. Kötü amaçlı yazılım, analizi engellemek için özel şifreleme ve gizleme teknikleri kullanır.

ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın

Kötü amaçlı yazılım kaynak kodunda “Antidot” dizelerinden bahsediliyor

Antidot Android Bankacılık Truva Atı, bir Google Play güncelleme uygulaması kılığına giriyor ve kurulum sırasında sahte bir Google Play güncelleme sayfası sunuyor; bu sayfa birden çok dilde görülüyor ve bu da kötü amaçlı yazılımın Almanca, Fransızca, İspanyolca, Rusça, Portekizce, Rumence ve Rumence dillerindeki kullanıcıları hedef aldığını gösteriyor. ve İngilizce konuşulan bölgeler.

Farklı dillerde hazırlanmış sahte güncelleme sayfaları

Android kötü amaçlı yazılımı Antidot, kullanıcıları erişilebilirlik izinleri vermeleri için kandırmak için sosyal mühendislikten yararlanıyor ve kurulum sonrasında “Devam” düğmesinin yer aldığı aldatıcı bir güncelleme sayfası görüntüleniyor.

Bu düğmeye tıklamak kullanıcıyı Erişilebilirlik Ayarları menüsüne yönlendirir ve Erişilebilirlik ayrıcalıkları kazanarak, diğer Android bankacılık Truva atlarına benzer şekilde Antidot, kullanıcının bilgisi veya farkındalığı olmadan kötü amaçlı eylemler gerçekleştirebilir, bu da kötü amaçlı yazılımın hassas bilgileri çalmasına ve potansiyel olarak kontrolü ele geçirmesine olanak tanır. cihazın.

Kullanıcıdan Erişilebilirlik izni vermesini isteyen panzehir

Antidot bankacılık truva atı, Komuta ve Kontrol (C&C) sunucusuyla gerçek zamanlı, iki yönlü iletişim kurmak için HTTP ve WebSocket protokollerinin bir kombinasyonunu kullanır ve bir HTTP isteği aracılığıyla iletişim başlatır ancak sürekli veriler için WebSocket’in “socket.io” kitaplığından yararlanır. değişme.

Sunucuya ilk ping mesajı

Kötü amaçlı yazılım “ping” ve “pong” mesajlarını kullanarak iletişim kurar. İstemci tarafındaki “ping” mesajları Base64 kodlu verileri iletirken, sunucu yanıtları (“pong”) kötü amaçlı yazılımın çalıştırılması için düz metin komutları içerir ve C&C sunucusunun virüslü cihaza gizlice talimatlar vermesine olanak tanır.

Uygulama adı, sürüm, cihaz modeli, üretici ve yüklü uygulamalar gibi kodlanmış cihaz bilgilerini içeren bir “ping” mesajı göndererek saldırganın C&C sunucusuyla iletişimi başlatır.

Bot kimliğiyle pong mesajı

Başarılı bir iletişimin ardından sunucu, virüslü cihaza benzersiz bir bot kimliği atayan bir “pong” mesajıyla yanıt verirken, kötü amaçlı yazılım bu değişim sırasında ek yedek C&C sunucu adresleri alarak birincil sunucu çevrimdışı olsa bile iletişimin devam etmesini sağlar.

Cyble’a göre Antidot Bankacılık Truva Atı, benzersiz bir bot kimliği aldıktan sonra, kötü amaçlı yazılımın bot istatistiklerini iletmesi ve sunucudan komutları alması nedeniyle sunucusuyla iki yönlü bir iletişim kanalı kuruyor.

Sunucudan alınan komutlar

Toplam 35 komut, saldırgana kurbanın cihazı üzerinde, bilgi çalmak (SMS, kişiler, tuş vuruşları), arayüzü değiştirmek (yer paylaşımı pencereleri, parlaklık) ve hatta cihazın kendisini kontrol etmek (resim çekmek, arama yapmak, uyku modunu başlatma).

SOS etkinliği

Antidot Android Bankacılık Truva Atı, kullanıcı kimlik bilgilerini çalmak için yer paylaşımlı saldırılardan ve keylogging’den yararlanıyor.

Meşru uygulamalara (bankacılık uygulamaları gibi) benzeyen sahte kimlik avı sayfalarını gerçek uygulamaların üzerine yerleştirerek kullanıcıları kimlik bilgilerini kötü amaçlı yazılıma girmeleri için kandırır.

Ek olarak, bir komuta ve kontrol sunucusuyla iletişim kurarken, çalınan verileri göndererek ve talimatlar alırken kurbanın yazdığı her tuş vuruşunu günlüğe kaydeder ve sunucu, cihazın amaçlanan hedef olmadığını tespit ederse, kötü amaçlı yazılıma, cihazı uyarması talimatını verir. Kullanıcının kendisini bir “SOS” komutuyla kaldırması.

Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın



Source link