EvilBamboo Kötü Amaçlı Yazılımla Android ve iOS Cihazlara Saldırıyor


Eskiden “Nazar” olarak bilinen EvilBamboo’nun Tibet, Uygur ve Tayvanlı kuruluşları ve bireyleri hedef aldığı tespit edildi. Bu tehdit aktörünün Eylül 2019’da özel Android kötü amaçlı yazılım kampanyaları yürüttüğü belirtildi.

Nisan 2020’de EvilBamboo’nun, Uygur kullanıcılarına özel iOS kötü amaçlı yazılım bulaştırmak için iOS cihazlarına Safari istismarıyla saldırdığı keşfedildi. Ancak son raporlar, bu tehdit aktörünün sahte web siteleri ve mevcut popüler toplulukları taklit eden sahte sosyal medya profilleriyle Android kullanıcılarını hedef aldığını gösteriyor.

Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir

Üç KÖTÜ Kardeşin Hikayesi

Daha ileri analizler, EvilBamboo’nun en az üç kötü amaçlı yazılım ailesi kullandığını ortaya çıkardı: BADBAZAAR, BADSIGNAL ve BADSOLAR. Bu kötü amaçlı yazılımların tümü, meşru bir uygulamanın içine yerleştirilmiş bir arka kapıya sahiptir.

Kabiliyet BADSOLAR KÖTÜBAZAR KÖTÜ SİNYAL
İki aşamada konuşlandırıldı X X
AndroRAT işlev adları X
Verileri dışarı çıkarmak için ana bilgisayar uygulamasıyla etkileşime girer X
Gerçek zamanlı SMS hırsızlığı X
GetOperatorName() ve DeviceInfo() işlevleri X X X
SSL Sabitleme X
RAW soketi aracılığıyla C2 X X
C2 HTTP Rest API’si aracılığıyla X
Telegram aracılığıyla paylaşıldı X X
Özel web sitesi var X X
Şüpheli iOS varyantı X
Gözlemlenen hedefleme Tibetliler Uygurlar, Tayvanlılar, Tibetliler ve ötesi Uygurlar
Kötü amaçlı yazılım ailelerini ve yeteneklerini ayırt etme (Kaynak: Volexity)

Bu uygulamalar Telegram gruplarını destekleyen kullanıcılar arasında dağıtıldı. Bu gruplar genellikle belirli bir uygulama için temalandırılır, ancak diğer zamanlarda bir uygulama kategorisi etrafında tutulurlar.

KÖTÜBAZAR

Bu kötü amaçlı yazılım, Tayvan’daki bir APK paylaşım forumunda birden fazla başlık aracılığıyla dağıtıldı apk[.]iki ve 100.000’den fazla izlenme sayısına ulaştı.

Konu aynı zamanda spam aramaları ve mesajları tanımlamak için kullanılan kırık, meşru bir Whoscall Android uygulamasını paylaştığını da iddia ediyordu. Gönderide ayrıca, uygulamanın APK’nın yeni bir sürümüyle yayınlandığı her seferde güncellenen bir bağlantı da yer aldı.

Tayvan ipliği (Kaynak: Volexity)

BADBAZAAR, terminalde SMS saklama, arama kayıtlarını alma, fotoğraf çekme ve cihaz hakkında IMEI, saat dilimi, Wi-Fi ayrıntıları, yüklü uygulamalar, kişi listeleri ve cihazın konumu gibi bilgileri toplama yeteneğine sahiptir.

BADSOLAR

Bu kötü amaçlı yazılım şu yolla dağıtıldı:Tibet telefonuignitetibet bağlantısını da paylaşan Telegram grubu[.]açık. jquery.min.js ile 9001 numaralı bağlantı noktasındaki bu URL’ye yapılan istek, JMASK olarak adlandırılan karmaşık bir profil oluşturma komut dosyasını yükler.

Bu kötü amaçlı yazılım, Comeflxyr olarak C2 adresine sahip başka bir meşru Android uygulamasına arka kapı ile kapatılmıştır.[.]com, bir JAR dosyasını ve ikinci aşama implant AndroRAT’ı indirmek için kullanılır. Bu kötü amaçlı yazılımda farklı işlevlere sahip birden fazla yöntem adı kullanıldı.

İşlev Tanım
GelişmişSistemBilgisi Pil ayrıntıları ve cihaz sıcaklığı gibi terminal hakkında bilgi alın.
Çağrı Günlüğü Listesi Arayanla ilişkili tarih, süre ve adı içeren arama geçmişini alın.
KişilerListesi İletişim bilgilerini alır.
Cihaz bilgisi MAC, operatör, satıcı, model, IMEI, IMSI, saat dilimi vb. gibi cihaz bilgilerini alın.
DirLister Cihazdaki dosyaları listeleyin.
Dosya İndirici C2 sunucusuna bir dosya yükleyin.
GetDeviceInfos Cihazın IMEI’sini, SIM seri numarasını ve telefon numarasını alın.
GPS Dinleyici Konumu alın.
Fotoğraf Çekici Bir fotoğraf çek.
SMS Listesi Saklanan SMS mesajlarını alın.
UDP Konusu UDP (bağlantı noktası 137) ile iletişim kurun.
WifiUtils IP, SSID, BSSID, MAC ve DNS sunucuları gibi Wi-Fi ayrıntılarını alın. Kötü amaçlı yazılım ayrıca ip neigh show’u kullanarak APR tablosunu listeleyebilir.
Sistem bilgisi Bu tabloda listelenen işlevlerin çoğunu yürütün.
Kötü amaçlı yazılımın içindeki farklı işlevler (Kaynak: Volexity)

KÖTÜ SİNYAL

Bu, www.signalplus kullanılarak dağıtılan meşru Signal uygulamasının arka kapılı bir sürümüdür.[.]org, www.flygram[.]org ve www.groupgram[.]org web siteleri. Bu kötü amaçlı yazılımın iki çeşidi vardı: Telegram çeşidi ve Signal çeşidi.

Signal One web sitesi (Kaynak: Volexity)

Daha ayrıntılı inceleme sonucunda, tehdit aktörü tarafından yapılandırılan çeşitli API uç noktalarının bir iOS sürümüne sahip olduğu ortaya çıktı.

Bu kötü amaçlı yazılım, ana APK’nın tüm özelliklere sahip olması nedeniyle ikinci aşama bir veri indirmez. Ayrıca bu kötü amaçlı yazılımın C2 iletişiminin bir parçası olarak 4432 numaralı bağlantı noktasında REST API kullandığı da keşfedildi.

Bu kötü amaçlı yazılımla ilgili kaynak kodu, dağıtım ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan tam bir rapor Volexity tarafından yayınlandı.

Yönetilen uç nokta çözümleri, kuruluşların tehditleri taramasına, yönetmesine, çözmesine ve veri ihlallerini önlemesine olanak tanır. Bugün Ücretsiz Deneyin!



Source link