Araştırmacılar, bazı yeni hilelerle birlikte gelen Godfather bankacılık Truva Atı’nın yeni bir kampanyasını ortaya çıkardı.
Godfather’ın yeni sürümü, Google Play Store’da barındırılan ve 10 milyondan fazla indirilen MYT Music adlı yasal bir uygulamaya benzer bir simge ve ad kullanıyor.
Tarih
Group-IB araştırmacıları, Godfather’ın Anubis’in halefi olduğunu tespit etti. Anubis, yaygın olarak kullanılan bir Android bankacılık Truva atıydı ve işlevselliği, Android güncellemeleri ve güvenlik sağlayıcılarının algılama ve önleme çabalarıyla sınırlandırıldıktan sonra popülaritesini kaybetti.
Godfather’ın başarısı çoğunlukla 400’den fazla uygulama için inandırıcı yatay ekranlar oluşturma becerisinden kaynaklanmaktadır. Katmanlı ekranların veya web sahtekarlıklarının bu kullanımı, temel olarak meşru uygulamalar üzerinde görüntülenen tehdit aktörleri tarafından oluşturulan HTML sayfalarıdır. Bu, tehdit aktörlerinin bankacılık uygulamaları ve diğer finansal hizmetler için oturum açma kimlik bilgilerini toplamasına olanak tanır. Hedef uygulamalar, bankacılık uygulamalarını, kripto para cüzdanlarını ve kripto borsalarını içerir.
Banka Truva Atı için en popüler hedef uygulamalar ABD (49 şirket), Türkiye (31), İspanya (30), Kanada (22), Fransa (20), Almanya (19) ve Birleşik Krallık’tadır (17). ). Trojan, virüslü cihazın sistem dilini kontrol eder ve şu dillerden biriyse kapanır: Rusça, Azerice, Ermenice, Belarusça, Kazakça, Kırgızca, Moldovaca, Özbekçe veya Tacikçe.
Düzenlemek
Yeni Godfather örneklerinden birkaçı, Türkçe yazılmış MYT Müzik uygulaması kılığında bulundu. Kurduktan sonra, MYT Music adlı meşru bir uygulamaya çok benzeyen bir simge ve ad kullanır. MYT Music, 10 milyondan fazla yüklemeye sahip popüler bir uygulamadır.
İzin alma
Truva atı, gerekli izinleri almak için tüm Android cihazlarda bulunan standart bir güvenlik aracı olan Google Protect gibi davranır. Bir tarama başlatıyormuş gibi yapar ve kullanıcıdan Erişilebilirlik Hizmetine erişmesini ister. Uygulamanın cihazı tarayacağını düşündükleri düşünülürse, kullanıcı için anlamlıdır. Truva atı, Erişilebilirlik Hizmetine erişimle, etkilenen cihazdan bilgi çalmak için ihtiyaç duyduğu tüm izinleri kendisine verebilir.
Yetenekler
Godfather tamamen etkinleştiğinde, SMS mesajları gibi hassas verileri, yüklü uygulama verileri dahil olmak üzere temel cihaz ayrıntılarını ve cihazın telefon numarasını çalar. Ayrıca cihaz ekranını kontrol edebilir, kurbanın cihazına gelen aramaları iletebilir ve bankacılık URL’lerini enjekte edebilir. Trojan, çevirici kullanıcı arayüzünü kullanmadan USSD (Yapılandırılmamış Ek Hizmet Verileri) çağrıları yaparak para transferlerini başlatabilir.
Toplanan verileri saldırgana gönderir. Buna karşılık kim, hangi uygulamaların yüklendiğini bilir ve kurbanın taklidi uygulama yüklüyse en etkili olan HTML kimlik avı sayfalarını enjekte edebilir. Command & Control (C2) sunucusunun URL’si bir Telegram kanalından alınır.
IOC’ler
MYT Muzik uygulaması CRIL olarak görünen varyant için sağlananlar:
APK Meta Veri Bilgileri
- App Name: MYT Müzik
- Paket Adı: com.expressvpn.vpn
- SHA256 Hash: 138551cd967622832f8a816ea1697a5d08ee66c379d32d8a6bd7fca9fdeaecc4
Android için Malwarebytes, Godfather Truva Atı’nın bu yeni varyantlarını Android/Trojan.Spy.Banker.MYT olarak algılıyor.
Kötü amaçlı yazılımdan nasıl kaçınılır?
Cihazınıza kötü amaçlı yazılım yüklenmesini önlemenize yardımcı olabilecek birkaç temel yönerge vardır.
- Yalnızca Google Play Store veya iOS App Store gibi resmi uygulama mağazalarından yazılım indirin ve yükleyin. Ve indirdiğiniz uygulamanın tam olarak istediğiniz uygulama olup olmadığını ve bir taklitçi olmadığını kontrol edin.
- PC’ler, dizüstü bilgisayarlar ve mobil cihazlar gibi bağlı cihazlarınızda tanınmış bir virüsten koruma/kötü amaçlı yazılımdan koruma ve internet güvenliği yazılım paketi kullanın.
- Güçlü parolalar kullanın ve mümkün olan her yerde çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın.
- Mümkünse mobil cihazın kilidini açmak için parmak izi veya yüz tanıma gibi biyometrik güvenlik özelliklerini etkinleştirin.
- Telefonunuza gelen SMS veya e-posta yoluyla gelen bağlantıları açmadan önce çok dikkatli olun.
- Android cihazlarda Google Play Protect’in etkinleştirildiğinden emin olun.
- Herhangi bir izni etkinleştirirken dikkatli olun. Bir uygulamanın yapmasına izin verdiğiniz şeyi dikkatlice okumak, olağandışı ve şüpheli istekleri işaretlemenize yardımcı olur.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.