Gigabud RAT, Bankacılık Kimlik Bilgilerini Çalmak İçin Android Kullanıcılarına Saldırıyor


Son raporlar, GigaBud kötü amaçlı yazılımının Tayland, Endonezya, Vietnam, Filipinler ve Peru’da 99’dan fazla finans kurumunu hedef aldığını gösteriyor.

GigaBud, belgelenmemiş bir Android Uzaktan Erişim Truva Atı’dır (RAT) ve Temmuz 2022’den beri aktiftir.

Örneklerin incelenmesi, “ kod adlı başka bir kötü amaçlı yazılımı ortaya çıkardı.GigaBud.KrediSahte bir kredi başvurusu işlevi gören ”.

Ayrıca kötü amaçlı yazılım, kurbanlardan Kişisel bilgi toplamak için en az 25 finans kurumunu taklit etmek amacıyla bu ülkelerdeki devlet dairelerini de hedef aldı.

Tehdit aktörleri, önceki sürümlerinde RAT ve Sahte kredilerin işlevlerini birleştiriyor. Ek olarak GigaBud, kullanıcının cihazında hareketler gerçekleştirebilir, savunmadan kaçabilir ve otomatik ödemeler oluşturabilir.

Gigabud RAT Android Kullanıcılarına Saldırıyor

Tehdit aktörleri, bu GigaBud.Loan ve GigaBud.RAT’ı kimlik avı web sitelerinde barındırdı ve bu web sitelerinin bağlantılarını Smishing kampanyaları aracılığıyla kurbanlara teslim etti.

Bu bağlantılar, kurbanları bu kimlik avı web sitelerine çeken sosyal ağlar aracılığıyla da dağıtılır.

Messenger (Smishing) aracılığıyla dağıtılan GigaBud Kaynak: Group-IB)

Ayrıca tehdit aktörleri de bu oltalama kampanyaları aracılığıyla kötü amaçlı APK dosyalarını kurbanlara ulaştırmaktadır. Android cihazlar, üçüncü taraf uygulama yüklemelerini varsayılan olarak engeller.

Ancak, bu kötü amaçlı APK dosyaları, “REQUEST_INSTALL_PACKAGES” isteğiyle yüklenir ve “Bilinmeyen kaynaklardan yükleyin” ayarı ve Google tarafından yüksek riskli olarak kategorize edilmiştir.

GigaBud DİREKSİYON Finans kuruluşuna saldırmak

GigaBud.RAT, bir hükümet veya finans kurumu gibi meşru bir uygulamayı taklit eden bir truva atıdır. Ekran görüntülerini yakalayabilir ve kimlik bilgilerini ve diğer hassas bilgileri yakalamak için bir keylogger görevi görür.

GigaBud giriş sayfası (Kaynak: Group-IB)

Ayrıca panodaki banka kartı numaralarını değiştirerek ve uzaktan erişim yoluyla kurbanın cihazından otomatik ödemeler yaparak kimlik doğrulamayı ve 2 faktörü atlayabilir.

GigaBid Sahte Kredi Uygulaması

GigaBud.Loan, GigaBud’un sahte ödünç alınmış bir sürümü gibi davranır ancak Uzaktan Erişim özelliği yoktur. Bir krediyi işlemek adına tam ad, kimlik numarası, dijital imza, banka kartı bilgileri ve telefon numaraları gibi kişisel bilgileri toplamak için var olmayan bir finans kuruluşu gibi davranır.

Sahte kredi talep aşamaları (Kaynak: Grup-IB)

Bazı durumlarda, bu Sahte kredi talepleri mağdurdan ön ödeme ücreti de ister veya banka hesap numaraları gibi kişisel bilgiler sağlayarak kredi başvurusu işlemesini engeller.

Group-IB tarafından, bu GigaBud kötü amaçlı yazılımları hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı. Kullanıcıların, meşru uygulama pazarları dışındaki üçüncü taraf kaynaklardan uygulama yüklerken ekstra önlemler almaları istenir.

Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.





Source link