Gerilla Kötü Amaçlı Yazılımı 9 Milyondan Fazla Android Tabanlı Cihaza Bulaştı


Hacker Grubu 9 Milyondan Fazla Android Tabanlı Cihaza Bulaştı

Önde gelen bir siber suç örgütü olan Lemon Group, yaklaşık 9 milyon Android cihaza ‘Guerilla’ kötü amaçlı yazılımını yerleştirerek çeşitli kötü amaçlı faaliyetler gerçekleştirmelerini sağladı.

Buradaki tüm yasa dışı faaliyetler arasında en önemlilerinden bahsetmiştik:-

  • SMS şifrelerini ele geçirmek
  • Ters proxy’ler oluşturma
  • WhatsApp oturumlarını ele geçirme

Yakın tarihli bir Trend Micro raporu, saldırganların altyapısının bazı unsurlarının 2016’daki Triada truva atı operasyonuyla benzerlikler gösterdiğini ortaya çıkardı ve bu da iki olay arasında potansiyel bir bağlantı olduğunu gösteriyor.

Triada, küresel pazar varlığına sahip bütçe dostu Çinli markalar tarafından üretilen ve kullanıcılar için önemli bir güvenlik riski oluşturan 42 Android akıllı telefon modelinde önceden yüklenmiş olarak keşfedildi.

Kötü amaçlı yazılım dağıtımı

Trend Micro’daki siber güvenlik araştırmacıları, Lemon Group tarafından cihazlara ilk kötü amaçlı yazılım yükleyicilerini yüklemek için kullanılan 50’den fazla virüslü ROM tespit etti. Ancak, cihazlara kötü amaçlı ürün yazılımı bulaştırmanın özel yöntemi henüz açıklanmadı.

Trend Micro, cihazların Lemon Group tarafından ele geçirilmesinin aşağıdakiler gibi çeşitli yollarla gerçekleşebileceğini önermektedir:-

Bunun yanı sıra, bir Android telefon satın alınarak ve “ROM görüntüsü” çıkarılarak Lemon Group’un kötü niyetli olarak değiştirilmiş ürün yazılımı tespit edildi.

Cihazdaki değiştirilmiş sistem kitaplığı ‘libandroid_runtime.so’, saldırganların ana eklentisi “Sloth”u etkinleştiren ve yapılandırmasında belirtilen bir Lemon Group etki alanını kullanarak iletişim kuran bir DEX dosyasının şifresini çözer ve yürütür.

Guerilla eklentileri

Gerilla kötü amaçlı yazılımının birincil eklentisi, belirli işlevler için tasarlanmış ve çeşitli yetenekleri kapsayan özel eklentilerin yüklenmesinden sorumludur.

Bu nedenle, aşağıda Gerilla tarafından kullanılan tüm ek eklentilerden ve ayrıca yeteneklerinden bahsettik: –

  • SMS Eklentisi: WhatsApp, JingDong ve Facebook için SMS tabanlı OTP’ler bu eklenti tarafından yakalanır.
  • Proxy Eklentisi: Virüs bulaşmış telefonlar ters proxy sunucularına dönüştürülebilir ve DoveProxy işleri onlar aracılığıyla yürütülebilir.
  • Çerez Eklentisi: Facebook çerezlerini ayıklar ve bunları komut ve kontrol (C2) sunucusuna gönderirken WhatsApp oturumlarının kontrolünü ele geçirir ve ardından güvenliği ihlal edilmiş cihazdan istenmeyen mesajları dağıtır.
  • Splash Plugin: Yasal uygulamalar kullanıldığında kurban araya giren reklamlarla gösterilir.
  • Sessiz Eklenti: Komut ve kontrol (C&C) görevlerini aldıktan sonra, kurulum izinlerinden sorumlu eklenti, apk meta verilerini ve yükleme ve kaldırma gibi belirli eylemleri kullanarak sessiz kurulumlar gerçekleştirir ve ilgili uygulamaları başlatır.

Etkilenen Ülkeler

180’den fazla ülkede cihazlar üzerinde kontrole sahip olan tehdit aktörü, izleme göstergelerinden de anlaşılacağı gibi, enfeksiyonu küresel olarak yaydı.

Aşağıda, etkilenen ilk 10 ülkeden bahsettik:-

  • BİZ
  • Meksika
  • Endonezya
  • Tayland
  • Rusya
  • Güney Afrika
  • Hindistan
  • Angola
  • Filipinler
  • Arjantin

Guerrilla kötü amaçlı yazılımından etkilenen gerçek Android cihaz sayısı, potansiyel olarak bildirilen sayıdan daha fazladır ve bu da, başlangıçta tahmin edilenden daha geniş bir bulaşma kapsamına işaret eder.

Bunun dışında çeşitli platformlarda SMS PVA servisleri için OTP talebi oluşturmak için 490.000’den fazla cep telefonu numarası kullanıldığı tespit edilmiştir.

Bu siber suç örgütünün tek hizmeti, güvenliği ihlal edilmiş 500.000’den fazla cihazı tanımlayarak, bunların kapsamlı küresel varlıklarını vurguladı.

Kötü amaçlı operasyonları, dünya çapında çok sayıda konumu etkileyen önemli bir erişim sergiliyor.

DÖRT



Source link