Zimperium Zlabs, meşru mobil bankacılık ve kripto para birimi uygulamalarını tehlikeye atmak için çığır açan bir cihazda sanallaştırma tekniği kullanan vaftiz babası Android bankacılık kötü amaçlı yazılımlarının son derece ileri bir yinelemesini ortaya çıkardı.
Sadece giriş ekranlarını taklit eden geleneksel kaplama saldırılarının aksine, bu kötü amaçlı yazılım, kurbanın cihazında tamamen izole edilmiş bir sanal ortam oluşturur ve saldırganların kullanıcı etkileşimlerini gerçek zamanlı olarak izlemelerini ve manipüle etmesini sağlar.
Bu, mobil tehdit yeteneklerinde önemli bir evrimi işaret ederek, meşru uygulamanın kendisi casusluk ve hırsızlık için bir araç haline geldiğinden, uyanık kullanıcıları aldatmacaya karşı savunmasız hale getirir.
.png
)
Mobil tehditlerde sofistike bir sıçrama
Bu saldırının merkezinde, bir sanallaştırma çerçevesi yerleştiren kötü niyetli bir “ana bilgisayar” uygulaması yatmaktadır.
Bu ana bilgisayar, kontrollü bir sanal alan içinde hedeflenen bankacılık veya kripto uygulamasının bir kopyasını indirir ve çalıştırır ve kullanıcıları uygulamayı başlattıklarında bu sanallaştırılmış örneğe yönlendirir.
Her musluk ve veri girişini ele geçirerek, kötü amaçlı yazılım kimlik bilgilerini ve hassas bilgileri hassasiyetle yakalar.
Ayrıca, kök algılama gibi güvenlik mekanizmalarını atlayarak uygulama davranışını değiştirmek için Xposed gibi kanca çerçevelerini kullanır.
Bu sanallaştırma, saldırganlara uygulamanın süreçlerine tam görünürlük sağlayarak uzaktan kumanda ve gerçek zamanlı veri hırsızlığı sağlar.
Şu anda dünya çapında yaklaşık 500 uygulamayı hedefleyen, bir düzine Türk finans kurumuna özel bir odaklanarak, vaftiz babasının erişimi ve sofistike fjordphantom gibi daha önceki tehditleri aşıyor.
Sanallaştırma yoluyla benzeri görülmemiş kontrol
Kötü amaçlı yazılımların teknik gücü, APK dosyalarının zip manipülasyonu ve Android manifestinin statik analiz araçlarını engellemek için alakasız izinlerle gizlenmesi de dahil olmak üzere kaçınma taktiklerine kadar uzanır.
Kötü niyetli kodlarının çoğu, doğaldan Java katmanına geçerek tersine mühendislik çabalarını karmaşıklaştırdı.
Erişilebilirlik hizmetlerini kullanan Godfather, yükünü oturum tabanlı bir damlalık tekniği aracılığıyla gizlice yükleyerek, kullanıcıları uygulama özelliklerini etkinleştirme kisvesi altında izin vermeye kandırır.
İzinler güvence altına alındıktan sonra, Base64 kodlu URL’ler aracılığıyla komut ve kontrol (C2) sunucusuyla iletişim kurar ve erişilebilirlik hizmetleri aracılığıyla yakalanan ayrıntılı kullanıcı etkileşimlerini iletir.
Sanallaştırmanın ötesinde, Godfather, klasik kaplama saldırılarını korur, cihaz kilit ekranı pimleri ve desenler de dahil olmak üzere kimlik bilgilerini çalmak için meşru uygulamalar üzerine aldatıcı ekranlar yerleştirir.
Uzaktan kumanda yetenekleri, jest manipülasyonu için “setdata” ve bindirme dağıtım için “Phonelock” gibi komutlar ile kapsamlıdır ve saldırganların cihazda sorunsuz bir şekilde gezinmesini ve sömürülmesini sağlar.
Kötü amaçlı yazılım ayrıca, milyonlarca kullanıcıdan çok çeşitli kişisel ve finansal verileri hasat etmeyi amaçlayan bankacılık, kripto para birimi borsaları, sosyal medya ve e-ticaret platformlarını kapsayan çok çeşitli küresel uygulamaları hedeflemektedir.
Rapora göre, kullanıcılar ve mobil cihazları arasındaki güveni aşındırdığı için bu saldırının sonuçları derindir.
Meşru uygulamaları güvenilmeyen bir ortamda hırsızlık için kanallara dönüştürerek, vaftiz babası geleneksel güvenlik paradigmalarına meydan okuyor.
Mükemmel aldatma yoluyla tespitten kaçınma yeteneği, kullanıcılar uzlaşmış bir kum havuzunda gerçek uygulamayla etkileşime girer, mobil güvenlik için kritik bir tehdit oluşturur.
Bu kötü amaçlı yazılım gelişmeye devam ettikçe, sürekli genişleyen dijital manzarada bu tür sofistike tehditlerle mücadele etmek için gelişmiş algılama mekanizmalarına ve artan kullanıcı farkındalığına olan acil ihtiyacın altını çizmektedir.
Zimperium’un bulguları, mobil kötü amaçlı yazılımlarda yeni bir sınır vurgulayarak, güvenlik uzmanlarından ve uygulama geliştiricilerinden derhal işlemleri dünya çapında kullanıcıları korumaya çağırıyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin