GitHub’da gelişmiş bir Android uzaktan erişim truva atı (RAT) ortaya çıktı ve dünya çapındaki mobil cihaz kullanıcıları için önemli güvenlik endişeleri yarattı.
Huckel789 kullanıcısı tarafından “Android-RAT” deposu altında halka açık olarak sunulan kötü amaçlı yazılım, modern güvenlik önlemlerini ve antivirüs tespit sistemlerini atlayabilen, tamamen tespit edilemeyen (FUD) yetenekler sunduğunu iddia ediyor.
Bu kötü amaçlı yazılım, tehlikeli yükleri barındırmak ve dağıtmak için meşru platformlardan yararlanarak mobil kötü amaçlı yazılım dağıtımında endişe verici bir evrimi temsil ediyor.
RAT, PC kurulumu gerektirmeyen web tabanlı bir arayüz aracılığıyla çalışır ve bu da onu farklı teknik uzmanlığa sahip tehdit aktörlerinin erişebilmesini sağlar.
Dağıtım yöntemi, GitHub’un güvenilir platform durumunu istismar ederek, genellikle şüpheli alanlardan gelen kötü amaçlı indirmeleri engelleyen güvenlik filtrelerini potansiyel olarak atlıyor.
Kötü amaçlı yazılımın kapsamlı özellikleri arasında tuş kaydetme yetenekleri, kimlik bilgilerinin ele geçirilmesi, fidye yazılımı işlevleri ve kullanıcıları gerekli izinleri vermeleri konusunda kandırmak için tasarlanmış gelişmiş sosyal mühendislik araçları yer alıyor.
Güvenlik araştırmacısı Huckel789, bu özel türün popüler antivirüs çözümleri ve VirusTotal taramaları tarafından tespit edilmekten kaçınmak için özel olarak tasarlanmış gelişmiş gizlilik tekniklerini kullandığını tespit etti.
Kötü amaçlı yazılım, anti-emülatör ve sanal makine algılama mekanizmalarını bir araya getirerek, güvenlik analizi ortamlarında hareketsiz kalırken yalnızca orijinal Android cihazlarda çalışmasını sağlar.
Bu seçici etkinleştirme yaklaşımı, güvenlik profesyonelleri tarafından kullanılan geleneksel kötü amaçlı yazılım analizi iş akışlarını önemli ölçüde karmaşık hale getiriyor.
Android RAT, olağanüstü kalıcılık yetenekleri, hayatta kalan ultra pil optimizasyon modları ve MIUI gibi Çin ROM uygulamalarında yaygın olarak bulunan çeşitli güç yönetimi kısıtlamalarını gösterir.
Kaynak açısından verimli tasarımı, minimum düzeyde sistem kaynağı tüketirken sürekli arka planda çalışmaya olanak tanır ve performans izleme yoluyla tespit etmeyi son derece zorlaştırır.
Gelişmiş Kaçınma ve İletişim Mimarisi
Kötü amaçlı yazılımın iletişim altyapısı, komuta ve kontrol operasyonlarına yönelik karmaşık bir yaklaşımı temsil ediyor.
Sunucu iletişimleri için basit base64 kodlaması kullanan geleneksel RAT’ların aksine, bu varyant, virüslü cihazlar ve komut sunucuları arasındaki tüm veri aktarımlarını güvence altına almak için PKCS dolgulu AES-128-CBC şifrelemesini uygular.
Şifreleme uygulaması, ağ trafiği analizinin kötü amaçlı iletişimleri kolayca ortaya çıkaramamasını sağlarken, gelişmiş gizleme teknikleri, yerleşik sunucu IP adreslerini statik kod analizi yoluyla keşfedilmekten korur.
RAT’ın “Dondurma Modu” işlevi, operatör komutlarına yanıt verme yeteneğini korurken veri aktarımını 24 saatlik periyotlarda 1-3 MB ile sınırlandırarak gizli operasyonlarda özel bir yenilik göstermektedir.
Bu yaklaşım, güvenilir uzaktan erişim yetenekleri sağlarken güvenlik izleme sistemlerini tetikleyebilecek ağ imzalarını en aza indirir.
Kötü amaçlı yazılım, karmaşık bir damlalık modülü aracılığıyla yükünü meşru uygulamalara enjekte edebilir, bu da ilk enfeksiyon vektörlerinin geleneksel güvenlik tarama mekanizmaları yoluyla tanımlanmasını son derece zorlaştırır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
