Cyble Research & Intelligence Labs (CRIL), ihlal edilmiş sistemlerden para transferi yapabilen yeni bir GoatRAT bankacılık truva atı buldu.
Rapora göre dolandırıcılar, Brezilya bankalarından para transfer etmelerine yardımcı olan Otomatik Transfer Sistemli (ATS) bankacılık truva atını kullanıyorlardı. NUBank, Banco Inter ve PagBank adlı üç Brezilya bankası, GoatRAT bankacılık truva atı kullanılarak hedef alındı.
CRIL araştırmacıları, GoatRAT bankacılık truva atının başlangıçta, hedeflenen cihazlara erişim ve kontrol elde etmek için bir Android uzaktan yönetim aracı olarak oluşturulduğunu keşfetti. Ancak artık PIX anahtarlarını kullanarak hileli parasal işlemler yapmak için kullanılıyor. PIX anahtarlarının kullanımı, hileli bir şekilde anında para transferlerine olanak tanır.
GoatRAT bankacılık truva atı parayı nasıl çalar?
Kullanıcılar GoatRAT URL’sine yönlendirildi – hxxps://keçi sıçanı[.]com/apks/apk20.apk kısaltılmış web sitesi URL’si aracılığıyla – hxxps[://]biraz[.]ly/nubankmodulo. Kötü amaçlı web sitesi, Android kötü amaçlı yazılımını barındırır ve ‘apk20.apk’ APK dosyasını indirir.
Kullanıcılar, bu URL’nin meşru bir Brezilya bankasına ait olduğuna inanarak yanıltılmaktadır. GoatRAT bankacılık truva atı kurulduktan sonra, sahte para transferlerini yapmak için PIX anahtarına erişim elde etmek üzere komuta ve kontrol sunucusuyla iletişim kuran ‘Sunucu’ adlı bir hizmeti tetikler.
Bundan sonra, şüphelenmeyen kullanıcılardan cihaz üzerinde Otomatik Aktarım Sistemlerini yürütmek için kullanılan şüpheli izinler vermeleri istenir. Hedeflenen bankacılık uygulamasının yer paylaşımlı görünümü, kullanıcının bunun yasal bankacılık uygulamasının bir parçası olduğunu düşünmesini sağlar.
Meşru bankacılık uygulamaları paketiyle eşleşen etkin paketin örnek adları:
- com.orta
- com.nu.prodüksiyon
- br.com.uol.ps.myaccount
GoatRAT bankacılık truva atı hakkında teknik ayrıntılar
Cephe oluşturulduktan sonra, GoatRAT bankacılık truva atı kendini gizler. Ardından, erişilebilirlik düğümlerinin verilerini yinelenebilir bir değişkene kaydeder ve yasal bankacılık uygulamasından metin çıkarmak için getText() işlevini kullanır.
GoatRAT bankacılık truva atı daha sonra, kullanıcının bilmesine izin vermeden yasa dışı işlem için hedefin uygulamasından miktarı girer.
Kullanıcıdan parayı başarıyla transfer etmesi için ‘Onayla’ veya ‘Öde’yi seçmesi istendiğinde, GoatRAT bankacılık truva atı aşağıda gösterildiği gibi ‘Pagar’ ve ‘CONFIRMAR’ metin dizilerini kullanarak ödemeyle ilgili tıklamaları otomatik olarak başarılı bir şekilde gerçekleştirmek için kullanır. Kara para aklama.
Tutar dolandırıcıya ulaştıktan sonra, GoatRAT bankacılık truva atı, kaplamayı meşru bankacılık uygulamasından kaldırdı.
Araştırmacılar, birkaç Brezilya bankasının son zamanlarda benzer kötü amaçlı yazılımlarla hedef alındığını belirtti.
GoatRAT bankacılık truva atı, mesajlara da erişimi olan benzer kötü amaçlı yazılımların aksine yalnızca erişilebilirlik hizmetini kötüye kullanma yeteneğine sahipken, GoatRAT yine de parasal işlemler gerçekleştirebiliyordu.
- Kötü amaçlı yazılım yayma bağlantısı şuydu: hxxps://goatrat[.]com/apks/apk20.apk
- Kötü amaçlı yazılım dağıtan kısaltılmış URL şuydu: hxxps://bit[.]ly/nubankmodulo
- Komuta ve kontrol sunucusunun – hxxp://api.goatrat olduğu bulundu[.]com:3008.
- Kötü amaçlı yazılım sertifikası – 38661ea0b53f278f620a3f2c8db6da8ef8ca890e
- GoatRAT bankacılık truva atına bağlı Yönetici paneli ve etki alanı şuydu: hxxps[://]keçi sıçanı[.]iletişim