“Huckel789/Android-Rat” deposunda barındırılan bu tamamen tespit edilemez (FUD) sıçan, antivirüs algılamasından kalıcı olarak kaçmak, pil optimize edilmiş ortamlarda kalıcılığı korumak ve zengin bir komut ve kontrol (C2C) deneyimini tamamen bir web arayüzünden sağlamak için tasarlanmıştır.
Bu Android sıçan, saldırı zincirindeki bir masaüstü veya dizüstü bilgisayar için geleneksel gereksinimi ortadan kaldırarak kendini ayırır.
“En güçlü (FUD Android Rat) 2025” olarak adlandırılan yeni yayınlanan bir Android uzaktan erişim Trojan (sıçan), GitHub’da ortaya çıktı, eşi görülmemiş bir gizlilik ve kapsamlı bir kötü niyetli yetenekler paketi – hepsi bir PC’ye ihtiyaç duymadan.
Operatörler, Android, Linux veya Windows’taki herhangi bir modern tarayıcı aracılığıyla uzlaşmış cihazları yönetebilir. Web tabanlı konsol doğrudan enfekte cihazlara bağlanır ve gerçek zamanlı izleme ve kontrol sağlar.
Sıçanın yük dağıtım mekanizması, meşru uygulamaları sorunsuz bir şekilde bırakmak için kullanır ve ayrıştırılmış kodda IP adresi veya bağlantı noktası izi bırakmaz.
PKCS dolgu ile AES-128-CBC de dahil olmak üzere gelişmiş şifreleme yöntemleri, tehlikeye atılan cihaz ve C2C sunucusu arasındaki iletişimin ayrılmaz ve trafik analizine dirençli kalmasını sağlar.
Rakipsiz bir yetenek cephanesi
Maksimum operasyonel esneklik için tasarlanan sıçan, geleneksel olarak birden fazla araca yayılmış kapsamlı bir dizi işleve sahiptir.
Kesintisiz yürütmeyi sağlamak için MIUI ve Autostart ve BackgroundKill optimizasyonları gibi diğer Çin ROM kısıtlamalarını atlayabilir.
Kurulum üzerine, sıçan tüm izinleri otomatik olarak verir, simgesini gizler ve meşru APS’ye bir damlalık enjekte eder. Operatörler, SMS mesajlarını (toplu SMS ve OTP’ler dahil), bankacılık uygulamalarından ve kripto cüzdanlarından kaçırma, tuş vuruşlarını ve 2FA kodlarını hem çevrimdışı hem de çevrimiçi yakalama, SMS mesajlarını (toplu SMS ve OTP’ler dahil) kaydetme, kesme ve gönderme yeteneği kazanırlar.
Dosya sistemi erişimi, dosyaları ve dizinleri listelemeyi, indirmeyi ve silmeyi içerirken, multimedya işlevleri canlı fotoğraf, video ve ses yakalamasının yanı sıra ekran kayıtlarını kapsar.
Konum izleme doğru gerçek zamanlı GPS koordinatları sağlar ve hem ön hem de arka lenslerden canlı kamera yayınları doğrudan saldırgana aktarılabilir.
Fidye yazılımı işlevselliği, operatörlerin kurbanların dosyalarını özel notlarla şifrelemelerine ve ısmarlama fidye mesajlarını görüntülemelerine olanak tanır.
Google Play Protect ve Enterprise Mobility Management Solutions, bu gizli tekniklerle donatılmış bir düşmanı tespit etmek veya içermek için mücadele edebilir.
Ek güçlü modüller arasında USSD arama, tost bildirimleri ve güvenlik veya bankacılık uygulamalarını sahte diyaloglarla çarpma ve kullanıcıları kendi cihazlarından etkili bir şekilde kilitleme yeteneği bulunur. Özel bir “donma modu”, veri iletimini günde sadece 1-3 MB ile sınırlar ve Swift komutu yürütülmesini minimum bant genişliği kullanımı ile sağlar.
Gizli ve kalıcılık yeniden tanımlandı
Sıçanın tasarımcıları gerçek sıfır tespit yaklaşımını vurgular: basit gizlemeye dayanan diğer sıçanların aksine, tüm antivirüs ve virustotal taramalar kalıcı olarak kaçar.
Tescilli anti-emülatör ve anti-VM algılaması, sadece fiziksel donanım üzerinde çalışmayı garanti ederek sanal alan analizini engeller. Birçok kötü amaçlı yazılım suşunun aksine, bu sıçan ultra pil tasarruflu modlardan veya Çin özel ROM’larına özgü ayarları güçlendirmez.
Bir kez konuşlandırıldıktan sonra, minimal RAM, pil ve ağ kaynakları tüketerek tamamen kalıcı kalır ve şüpheli arka plan bağlantıları oluşturmaktan kaçınır.
Gizliliği daha da artıran sıçan, kurbanları sahte giriş ekranlarına sokan, bankacılık, kripto veya mesajlaşma platformları da dahil olmak üzere meşru uygulamaları çoğaltan özelleştirilmiş bildirimler göndererek “SCM PHSHing” i destekler.
Ayrıca, saldırganın cüzdanı ile değiştirmeden önce kopyalanan kripto para birimi adreslerini hasat etmek için pano içeriğini de kesebilir. Doğru hırsızlığı için, Google Authenticator, Microsoft Authenticator, 2FAS ve LastPass gibi büyük 2FA araçlarını hedefler ve oluşturulduklarında canlı kodları yakalar.
Sonuçlar
Böyle gelişmiş, FUD Android faresinin halkın kullanılabilirliği, mobil güvenlik için derin endişeler doğurur.
Bir pakette uzaktan erişim, casusluk, veri hırsızlığı ve fidye yazılımı işlevleri, siber suçluların girişini önemli ölçüde düşürür. Güvenlik uzmanları, mobil savunmaları desteklemeli, katı uygulama veterinerlemesini zorlamalı ve gizli C2C kanalları için ağ davranışını izlemelidir.
Sıçanın tasarımcıları gerçek sıfır tespit yaklaşımını vurgular: basit gizlemeye dayanan diğer sıçanların aksine, tüm antivirüs ve virustotal taramalar kalıcı olarak kaçar.
Sorumlu bir önlem olarak, siber güvenlik araştırmacıları, algılama imzaları ve azaltma stratejileri geliştirmek için sıçanın izole ortamlardaki kod tabanını analiz etmelidir.
Olay müdahale ekipleri, mobil güvenlik satıcıları ve kolluk kuvvetleri arasında işbirliği, bu hepsi bir arada sıçan çerçevesinin yarattığı tehditlere karşı koymak için gerekli olacaktır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.