Cerberus, 2019’da ortaya çıkan ve öncelikle hassas “finansal bilgileri” çalmak için tasarlanmış gelişmiş bir Android bankacılık truva atıdır.
Bu karmaşık truva atı genellikle “kötü amaçlı uygulamalar” ve “kimlik avı kampanyaları” aracılığıyla dağıtılır.
Cyble’daki siber güvenlik analistleri yakın zamanda tespit edilemeyen bir “Cerberus” Android truva atı yükü kullanılarak bulunan “ErrorFather” kampanyasını keşfetti.
Cerberus Android Bankacılık Truva Atı, “Alien”, “ERMAC” ve “Phoenix” gibi çeşitli türlere dönüştü.
Analyse Any Suspicious Files With ANY.RUN: Intergarte With You Security Team -> Try for Free
2024 yılında Cerberus’un kaynak kodunun önemli değişikliklerle kullanıldığı tespit edilen “ErrorFather” adlı yeni bir kampanya ortaya çıktı.
ErrorFather Hackerları Android Kullanıcılarına Saldırıyor
Bu kampanya, tespit edilmekten kaçınmak için karmaşık bir “çok aşamalı” damlatma tekniği kullanıyor. İlk damlalık, “final-signed.apk” adlı “ikinci aşama APK dosyasını” yükleyen “Chrome” veya “Play Store” gibi “yasal uygulamalar” olarak gizleniyor.
Bu ikinci aşamada, son verinin (“decrypted.dex”) şifresini çözmek ve yürütmek için yerel bir kitaplık (“libmcfae.so”) kullanılır. Bu son veri, “temel kötü amaçlı işlevleri” içerir.
Temel işlevler şunları içerirken: –
- Keylogging
- Kimlik bilgisi hırsızlığına yönelik katman saldırıları
- Uzaktan kontrol için VNC (Sanal Ağ Hesaplama) MediaProjection
- PII (Kişisel Tanımlayıcı Bilgiler) koleksiyonu
Kötü amaçlı yazılım, veri iletimi için RC4 şifrelemesini kullanarak C&C sunucularıyla iletişim kurar.
Özellikle “.click”, “.com”, “.homes” ve “.net” gibi uzantılara sahip yedek C&C alan adları oluşturmak için “İstanbul saat dilimini” kullanan bir DGA uygular.
Cyble, bu yaklaşımın, birincil C&C sunucuları kapatılsa bile kötü amaçlı yazılımın kalıcılığını korumasına yardımcı olduğunu söyledi.
ErrorFather kampanyası, bankacılık truva atlarının nasıl gelişmeye devam ettiğini gösteriyor. Bunu, güvenlik önlemlerinden kaçmak ve finansal ve sosyal medya uygulamalarını hedef almak için “gelişmiş gizleme teknikleri” ve “modüler yapılar” kullanarak yapıyorlar.
Temel özellikler arasında C&C iletişimi için “ErrorFather” adlı bir “Telegram botu” ve VNC işlevselliği için WebSocket bağlantılarının kullanımı yer alır.
Kötü amaçlı yazılımın yer paylaşımı tekniği, ikna edici “kimlik avı katmanları” oluşturmak için “HTML yerleştirme sayfalarını” alarak belirli uygulamaları hedef alır.
Tehdit aktörü “Eylemler” ile “Türler” gibi küçük değişiklikler yapmış olsa da temel işlevsellik orijinal Cerberus koduna benzer.
Bu kampanya, siber suçluların devam eden saldırılar için ‘Cerberus’, ‘Alien’, ‘ERMAC’ ve ‘Phoenix’ gibi araçları uyarlayarak sızdırılan kötü amaçlı yazılım kaynak kodundan nasıl yararlanmaya devam ettiğini gösteriyor.
Daha eski kötü amaçlı yazılımlara dayalı olmasına rağmen, “ErrorFather”ın tespitten kaçma başarısı, “yeniden düzenlenen kötü amaçlı yazılımların” oluşturduğu “kalıcı riskin” altını çiziyor.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Resmi uygulama mağazalarını kullanın.
- Saygın bir antivirüs yükleyin.
- Güçlü şifreler ve çok faktörlü kimlik doğrulama kullanın.
- Biyometrik kilit açmayı etkinleştirin.
- Şüpheli bağlantılardan kaçının.
- Google Play Korumayı etkinleştirin.
- Uygulama izinleri konusunda dikkatli olun.
- Cihazları ve uygulamaları güncel tutun.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)