Anında yetkisiz para transferleri yapma yeteneğine sahip başka bir Android bankacılık Truva Atı, tehdit aktörleri arasında Latin Amerika’da yeni bir otomatik ödeme sisteminden yararlanmaya yönelik artan eğilimin bir parçası olarak Brezilya bankalarını hedefliyor.
Cyble’dan araştırmacılar bir blog gönderisinde, yeni GoatRAT’ın – kendisinden önceki BraxDex, Senomorphy ve PixPirate gibi – güvenliği ihlal edilmiş hesaplardan anında ödeme yapmak için hedeflediği mobil cihazların Pix anahtarını çaldığını ortaya çıkardı. GoatRAT’ın arkasındaki saldırganlar, kullanıcıların çeşitli bankaları kullanarak Latin Amerika’da anında mobil ödeme yapmaları için Brezilya Merkez Bankası tarafından oluşturulan ve işletilen Pix ödeme platformuna erişmek için bu anahtarı kullanıyor.
Şimdiye kadar, Cyble araştırmacıları, ilk olarak kurbanların cihazlarının kontrolünü ele geçirmek için bir Android uzaktan yönetim aracı olarak yaratıldığını söyledikleri RAT’ın üç Brezilya bankasını hedef aldığını gözlemlediler: NUBank, Banco Inter ve PagBank.
Bulgulara göre, benzer kötü amaçlı yazılımlardan farklı olarak kimlik doğrulama kodlarını veya gelen SMS mesajlarını çalma yeteneğini içermeyen Trojan’ın tek amacı otomatik aktarımlar yapmak gibi görünüyor.
Cyble araştırmacıları, kötü amaçlı yazılımın, “saldırganların virüs bulaşmış cihazlarda yetkisiz para transferleri gerçekleştirmesine izin veren” bir otomatik aktarım sistemi (ATS) çerçevesi içeren daha gelişmiş bankacılık kötü amaçlı yazılımı oluşturmak için son altı ayda tehdit aktörleri tarafından artan bir eğilimin parçası olduğunu yazdı. .
Raporda, “Bu yeni varyant, mevcut teknolojik manzarada, finansal dolandırıcılığı yürütmek için birden fazla izin veya birçok bankacılık truva atı işlevi gerektirmeyen yüksek bir siber saldırı riski olduğunu vurguluyor” dedi.
Gerçekten de, Kaspersky’nin “2022’de Mobil Tehditler” raporuna göre, 2022’de bu kötü amaçlı yazılımın yaklaşık 200.000 yeni çeşidinin ortaya çıkmasıyla mobil bankacılık Truva Atı dağıtımı genel olarak artıyor. Bu sayı, bir önceki yıla göre %100’lük bir artışı ve mobil kötü amaçlı yazılım geliştirmede son altı yılda görülen en büyük ivmeyi temsil ediyor.
GoatRAT Anında Transferleri Nasıl Gerçekleştirir?
GoatRAT, bir kullanıcının cihazına bulaştığında otomatik aktarımlar gerçekleştirmek için genellikle dört adımlı bir süreç kullanır. Araştırmacılar, Banco Inter mobil bankacılık uygulaması için özel olarak kullanılan sistemi özetledi; ancak Truva Atı’nın, hedeflediği NUBank ve PagBank gibi diğer bankacılık uygulamaları için otomatik transferler gerçekleştirmek üzere benzer işlevleri bünyesinde barındırdığını söylediler.
GoatRAT, etkin paketin adının hedeflenen uygulama paketi adları listesinden biriyle eşleştiğini doğrulamak için önce bir Android cihazında Erişilebilirlik Hizmetini kötüye kullanır ve ardından başka bir bulaşma dağıtır.
Hedeflenen uygulama tanımlandıktan sonra, kötü amaçlı yazılım, kötü niyetli etkinliğini kurbandan gizlemek için meşru uygulamanın üzerinde görünen sahte bir bankacılık yer paylaşımı penceresi oluşturur. Araştırmacılar, bu ve başka bir gizli işlemin, Truva Atı’nın kurbanı uyarmadan meşru bankacılık uygulamasına aktarılacak bir miktar parayı ve cihazın Pix anahtarını girmesine izin verdiğini söyledi.
Kötü amaçlı yazılım ayrıca, anında para transferini tamamlamak için yasal bankacılık uygulamasının “Onayla” ve “Öde” düğmeleri için otomatik bir tıklama mekanizması sunar. Bu aktarım tamamlandıktan sonra, yasal bankacılık uygulamasının üst kısmındaki bindirme penceresini kaldırır ve kötü amaçlı işlem sonlandırılır.
ATS Truva Atlarına Karşı Savunma
Araştırmacılar, cihazları yalnızca para çalmakla kalmayıp aynı zamanda bağlı cihazlar aracılığıyla kurumsal ağlara yayılan Truva atlarından ve diğer kötü amaçlı yazılımlardan korumak için mobil uygulamaları indirmeye ve kullanmaya yönelik tipik en iyi uygulamalarla birlikte birkaç güvenlik tavsiyesinde bulundu.
Mobil cihaz kullanıcıları, yalnızca Google Play Store veya iOS App Store gibi resmi uygulama mağazalarından yazılım indirip yüklemeli ve yalnızca mobil değil, aynı zamanda PC’ler ve dizüstü bilgisayarlar da dahil olmak üzere bağlı tüm cihazlarda tanınmış bir antivirüs ve İnternet güvenliği yazılım paketi kullanmalıdır. araştırmacılar tavsiye etti.
Ayrıca kullanıcılara, ödeme kartlarının ayrıntılarını güvenilmeyen kaynaklarla asla paylaşmamalarını ve güçlü parolalar kullanmalarını ve mümkün olan her yerde mobil cihazlarda çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılmalarını tavsiye ettiler. Araştırmacılar ayrıca, mümkün olan her yerde mobil cihazlarının kilidini açmak için parmak izi veya yüz tanıma gibi biyometrik güvenlik özelliklerinin uygulanmasının çok önemli olduğunu söyledi.
Araştırmacıların tavsiye ettiği ancak kullanıcıların genellikle göz ardı ettiği diğer sağduyulu güvenlik kuralları, cihazları, işletim sistemlerini ve uygulamaları güncel tutmak ve SMS veya mobil cihazlara gönderilen e-postalar yoluyla alınan bağlantıları açmaktan kaçınmaktır. Cyble araştırmacıları, kullanıcıların cihazlarda herhangi bir izni etkinleştirirken dikkatli olması ve Google Play Protect’in Android cihazlarda etkinleştirildiğinden emin olması gerektiğini de sözlerine ekledi.