GhostBat RAT kampanyası, kötü amaçlı Android yazılımlarını dağıtmak için çeşitli enfeksiyon vektörlerinden (WhatsApp, kısaltılmış URL’li SMS, GitHub tarafından barındırılan APK’lar ve güvenliği ihlal edilmiş web siteleri) yararlanıyor.
Bu indiriciler kurulduktan sonra antivirüs tespitinden ve tersine mühendislikten kaçınmak için çok aşamalı iş akışları, kasıtlı ZIP başlığı manipülasyonu ve ağır dize gizleme işlemleri kullanılır.
Tehdit aktörleri, API çağrılarını dinamik olarak çözmek ve bankacılık kimlik bilgileri hırsızları ve kripto para madencilerini içeren yükleri dağıtmak için yerel kitaplıkları (.so) kullanıyor.
Mağdurlara mParivahan uygulamasını taklit eden, cep telefonu numaralarını, araç ayrıntılarını ve UPI ödemelerini isteyen kimlik avı sayfaları sunuluyor.
Bankacılıkla ilgili anahtar kelimeleri içeren tüm SMS’ler C&C sunucularına aktarılırken, gelen mesajlar OTP toplama için iletilebilir veya yüklenebilir. Cihaz kaydı, “GhostBat RAT” adını güçlendiren Telegram botu GhostBatRat_bot aracılığıyla gerçekleştirilir.
Temmuz 2024’te CRIL, kişileri ve SMS mesajlarını çalmak için tasarlanmış Bölgesel Ulaştırma Ofisi uygulamaları kılığına giren Android kötü amaçlı yazılımlarını ilk kez belgeledi.
Eylül 2025’ten itibaren yenilenen gözlemler, WhatsApp görsel paylaşımları ve GitHub tarafından barındırılan APK’lara yönlendiren kısaltılmış URL’ler içeren SMS mesajları aracılığıyla yayılan kırktan fazla farklı örneği ortaya koyuyor.
Her ne kadar varyantlar özel paketleyiciler ve anti-emülasyon rutinleri açısından farklılık gösterse de, her biri sonuçta mParivahan uygulamasının kötü amaçlı bir sürümünü sunuyor.
Başlatma sonrasında, geliştirici “güncelleme” kisvesi altında SMS ile ilgili izinler talep ediyor ve ardından bankacılık kimlik bilgilerini toplamak için kimlik avı faaliyetlerini başlatıyor.
Analiz sırasında, tüm örneklerin tehlikeye atılmış cihazları bir Telegram botu (GhostBatRat_bot) aracılığıyla kaydettiği ve kampanya altyapısını GhostBat RAT etiketine bağladığı tespit edildi.
Çok katmanlı damlalık mekanizmaları, ZIP başlığı bozulması ve kapsamlı dize gizlemenin birleşimi nedeniyle VirusTotal algılamaları düşük kaldı.
Teknik Analiz
GhostBat RAT’ın mimarisi, çok aşamalı damlalıklı iş akışları, yerel ikili paketleme, ZIP başlıklarının kasıtlı olarak bozulması, çalışma zamanı anti-emülasyon kontrolleri ve ağır dize gizleme ile karakterize edilir.
Çoğu örnek, aygıt mimarisini ve üreticisini doğrulayan, öykünülmüş ortamları engellemek için x86 veya x86_64’te sonlandırılan birinci aşama bir damlalıkla başlar.
Koddaki dizeler uzun sayısal diziler halinde gizlenmiştir ve bu da tersine mühendisliği daha da karmaşık hale getirir.
Çevresel kontroller geçtikten sonra, damlalık, XOR yoluyla bir varlık dosyasının şifresini çözer, onu DexClassLoader ile yükler ve ikinci aşama veriyi çalıştırır.
Bu veri, dosya adının SHA-1 karmasından türetilen bir AES anahtarını kullanarak başka bir varlığın şifresini çözer ve içeriğini üçüncü aşama modülü barındıran bir class.zip kapsayıcısına yükler.
Son aşamada, bankacılık veri hırsızlığından sorumlu birincil kötü amaçlı APK’yı yüklemeden önce bir cryptominer kitaplığı indirilir ve çalıştırılır.
Çeşitli varyantlar yerel bir paketleyici içerir: .so kitaplığı, FindClass gibi JNI işlevlerini kullanarak ek yerel ikili dosyaların şifresini çözer ve yükler, çalışma zamanında API çağrı adlarını dinamik olarak oluşturur.
Bu yerel yükleyici aynı üç aşamalı paradigmayı takip ediyor ve sonuçta hem kimlik bilgisi hırsızı hem de kripto para madencisi kullanıyor.
Mağdurlar mParivahan uygulamasını yükledikten sonra sahte bir Google Play güncelleme sayfasıyla karşılaşıyor. Bilinmeyen kaynaklardan kurulum yapılmasına izin verilmesi, kötü amaçlı APK’nın indirilmesini ve kurulmasını tetikler.
Uygulama daha sonra SMS izinleri istiyor ve cep telefonu ve araç ayrıntılarını isteyen ikna edici bir mParivahan kimlik avı arayüzünü görüntülüyor.
Daha sonra sahte bir ödeme akışı, kullanıcıdan doğrulama için 1 Hindistan rupisi ödemesini ister ve UPI PIN’ini sahte bir arayüze girerek PIN’i bir Firebase uç noktasına iletir.
Bankacılıkla ilgili anahtar kelimeleri içeren tüm SMS mesajları filtrelenir ve C&C sunucusuna aktarılırken, gelen mesajlar OTP müdahalesi için saldırganın kontrolündeki numaralara yüklenebilir veya iletilebilir.
Bu ikili yetenek, tehdit aktörlerinin yetkisiz işlemleri kolaylaştırmak için hem statik bankacılık kimlik bilgilerini hem de dinamik OTP’leri toplamasına olanak tanır.
GhostBat RAT kampanyası, RTO temalı Android kötü amaçlı yazılımın gelişmiş bir evrimini temsil ediyor. Tehdit aktörleri, çok aşamalı bırakma tekniklerini, analiz karşıtı savunmaları, yerel kod kullanımı ve sosyal mühendisliği birleştirerek geleneksel tespit mekanizmalarını etkili bir şekilde atlıyor.
Hem bankacılık kimlik bilgilerini hem de UPI kimlik doğrulama akışlarını hedefleyen GhostBat RAT, dikkatli SMS izin yönetiminin, kısaltılmış URL’lerin dikkatli bir şekilde ele alınmasının ve ortaya çıkan Android kötü amaçlı yazılım kampanyalarını engellemek için sürekli mobil tehdit istihbaratına duyulan ihtiyacın önemini vurguluyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.