Finstealer kötü amaçlı yazılım, Hint Bankası’nın mobil kullanıcılarına giriş kimlik bilgilerini çalmak için saldırıyor

   Şubat 11, 2025  Posted in CyberSecurityNews


Finstealer kötü amaçlı yazılım, Hint Bankası'nın mobil kullanıcılarına giriş kimlik bilgilerini çalmak için saldırıyor

“Finstealer” adlı sofistike bir kötü amaçlı yazılım kampanyası, hileli mobil uygulamalar aracılığıyla önde gelen bir Hint bankasının müşterilerini aktif olarak hedefliyor.

Trojan.rewardsteal/joxpk olarak tanımlanan kötü amaçlı yazılım, şüpheli kullanıcılardan bankacılık kimlik bilgilerini ve kişisel bilgileri çalmak için gelişmiş taktikler kullanır.

Kötü niyetli kampanya şüpheli bir web sitesi (MotoCharge[.]çevrimiçi) meşru olanları taklit eden sahte bankacılık uygulamalarını dağıtır.

Hizmet Olarak Siem

APK Ayrıntıları (Kaynak – Cyfirma)

Cyfirma analistleri, kötü amaçlı yazılımların Kotlin kullanılarak oluşturulduğunu ve sofistike yetenekler sergilediğini belirledi.

Gizli Kod (Kaynak – Cyfirma)

Yetenekler, IP tabanlı sunucuları (41.216.183.97) ve telgraf botlarını kullanan çift komut ve kontrol (C2) altyapısı ve kimlik bilgisi hasat için gelişmiş WebView sömürüsü olan XOR tabanlı String Obfusation to Candane Detection’ı, çift komut ve kontrol (C2) altyapısını içerir.

Finstealer’ın temel işlevselliği

Teknik analiz, bu kritik kod snippecesi aracılığıyla kötü amaçlı yazılımların temel işlevselliğini ortaya çıkardı:-

public class NPStringFog {
    public static String KEY = "npmanager";
    private static final String hexString = "0123456789ABCDEF";
    public static String decode(String str) {
        ByteArrayOutputStream baos = new ByteArrayOutputStream(str.length() / 2);
        for (int i = 0; i < str.length(); i += 2) {
            baos.write((hexString.indexOf(str.charAt(i)) << 4) | hexString.indexOf(str.charAt(i + 1)));
        }
        //... [obfuscation logic]
    }
}
Gizli Modül (Kaynak - Cyfirma)

Kötü amaçlı yazılım, bir telgraf botu (API anahtarı: 7754264825: aaeqsbgnuebumqnwfqn7e_svhs5sy_ifjee) aracılığıyla C2 altyapısı ile iletişim kurar:-

  • Bankacılık kimlik bilgileri
  • Kredi Kartı Ayrıntıları
  • Kişisel Kimlik Bilgileri

Güvenlik araştırmacıları ayrıca C2 sunucusunda kritik bir güvenlik açığı (CVE-2011-2688) keşfetti ve MOD_AUTHNZ_EXTERY modülündeki MySQL/MySQL-auth.pl betiği aracılığıyla SQL enjeksiyon saldırılarına izin verdi.

C2 Sunucunun Anlık Görüntüsü - Yönetici Panel (Kaynak - Cyfirma)

Bu tehdide karşı korunmak için Cyfirma, gelişmiş uç nokta korumasının uygulanmasını, istismar benzeri davranışların izlenmesini, mobil uygulamaların düzenli güvenlik denetimlerini yapmayı ve bilinen kötü niyetli uzlaşma göstergelerinin (IOC) engellenmesini önerir.

Aşağıdaki Yara kuralı, kötü amaçlı yazılımları tespit etmeye yardımcı olabilir:-

rule Bank_Fraud_App {
    meta:
        author = "CRT"
        description = "Detects fraudulent mobile apps impersonating Bank"
    strings:
        $telegram_bot = "/bot" ascii nocase
        $hex_pattern = { 6c 43 6c 43 6c 20 63 72 6564 6974 2063617264 }
        $wix_webview = "wixsite.com" ascii nocase
    condition:
        any of ($telegram_bot, $hex_pattern, $wix_webview)
}

Kullanıcılara bankacılık uygulamalarını yalnızca resmi kaynaklardan indirmeleri ve kurulumdan önce uygulama özgünlüğünü doğrulamaları şiddetle tavsiye edilir.

Kampanya aktif olmaya devam ediyor, araştırmacılar yeni varyantları izliyor ve ortaya çıktıkça vektörlere saldırıyor.

IOC

IOCS (Kaynak - Cyfirma)

Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free



Source link