Godfather Android Kötü Amaçlı Yazılım Oturum Açma Kimlik Bilgilerini Çalıyor

   Aralık 23, 2022  Posted in CyberSecurityNews


Godfather Android Kötü Amaçlı Yazılım

Son yıllarda, Android kullanıcıları, çoğunlukla Avrupalı ​​kullanıcıları hedefleyen GodFather bankacılık truva atının görülme sıklığında bir artış yaşıyor.

Bu GodFather android kötü amaçlı yazılımı Mart 2022’de keşfedildi ve Cyble Research & Intelligence Labs (CRIL) tarafından dünyanın her yerindeki Android bankası kullanıcılarını aktif olarak hedefleyen kötü şöhretli truva atlarından biri olarak tanımlandı.

Son zamanlarda MYT uygulamaları gibi davranan birkaç GodFather Android uygulaması örneği bulundu. Türkçe yazılmış olan uygulamanın adı MYT Müzik’tir.

Kötü Amaçlı Uygulama Yüklendi

Android Kötü Amaçlı Yazılımlarının Teknik Analizi

Dolayısıyla bu uygulamanın Türkiye’de Android cihaz kullanan Android kullanıcılarını hedeflediği görülmektedir. Anti-virüs ürünleri tarafından tespit edilmekten kaçınmak için GodFather için analiz edilen numuneler, özel ve karmaşık şifreleme teknikleri kullanılarak kodlandı.

DÖRT

Analistler, bu uygulamanın başka bir yasal uygulamaya benzer bir şekilde kurulduğunu ve bu uygulamanın MYT Music kılığına girdiğini tespit edebildi. Bu uygulama, Google’ın sunucularında barındırılan Google Play Store’dan 10 milyondan fazla indirildi.

GodFather Android kötü amaçlı yazılımı, kurbanın cihazına başarıyla yüklendikten sonra, aşağıdaki hassas verileri çalma ve yasa dışı faaliyetler gerçekleştirme becerisine sahip olur:-

  • Metin mesajları
  • Temel cihaz ayrıntıları
  • Yüklü uygulama verileri
  • Cihazın telefon numarası
  • Uzak Masaüstü’nü kullanarak cihaz ekranını değiştirin
  • Bir kurbanın cihazından gelen aramaları yönlendirme
  • Bankacılık bağlantılarını cihazın tarayıcısına enjekte edin

Aşağıda APK meta verilerinden bahsetmiştik: –

  • Uygulama ismi: MYT Müzik
  • Paket ismi: com.expressvpn.vpn
  • SHA256 Karma: 138551cd967622832f8a816ea1697a5d08ee66c379d32d8a6bd7fca9fdeaecc4

İzinler İsteniyor

Kötü amaçlı yazılımın kullanıcıdan istediği 23 farklı izin vardır ve bu izinlerin en az altısı kötü amaçlı yazılım tarafından kötüye kullanılmaktadır.

İşte bu tehlikeli izinlerin bir listesi: –

  • READ_CONTACTS: Telefon kişilerine erişin
  • READ_PHONE_STATE: Geçerli hücresel ağ bilgileri, telefonun telefon numarası ve seri numarası, devam eden aramaların durumu ve cihazda kayıtlı tüm Telefon Hesaplarının listesi dahil olmak üzere telefon durumuna erişim sağlar.
  • CALL_PHONE: Bir uygulamanın, kullanıcının aramayı onaylaması için Çevirici kullanıcı arayüzünden geçmeden bir telefon araması başlatmasına izin verir.
  • WRITE_EXTERNAL_STORAGE: Uygulamaya, cihazın harici deposundaki dosyaları yazma veya silme izni verir
  • DISABLE_KEYGUARD: Uygulamaya, tuş kilidini ve ilgili tüm parola güvenliğini devre dışı bırakma izni verir.
  • BIND_ACCESSIBILITY_SERVICE: Erişilebilirlik Hizmeti için kullanılır

Kötü amaçlı uygulama, aşağıdaki kodu kullanarak programın simgesini cihazın ekranından gizler ve gösterir.

Kötü amaçlı yazılım, tehdit aktörlerinin C&C sunucusundan sunset_cmd’yi alır almaz HTML kimlik avı sayfalarını enjekte eder ve ardından OnAccessibilityEvent yönteminde bir kaplama penceresi oluşturur.

Kötü amaçlı uygulama, C&C sunucusunun URL’sini bu telgraf kanalından alır:-

  • hxxps://t[.]ben/varezotukomirza

Komutları alabilmek ve cihazdan çalınan verileri bu kanal üzerinden gönderebilmek için TA’lar ile iletişim kurmak amacıyla bu kanalı kullanır.

Kullanılan komutlar kötü amaçlı yazılım tarafından

Kötü amaçlı yazılım, kullanıcıların cihazlarından hassas bilgileri çalmak için aşağıdaki komutları kullanır: –

  • başlangıçUSSD
  • gönderilmişSMS
  • uygulamayı başlat
  • başlangıç ​​ileri
  • öldürme robotu
  • tüm izinleri gönder
  • vnc_open
  • keylog_active
  • ekran kilidini aç
  • gün batımı
  • başlangıç ​​ekranı

öneriler

Aşağıda tüm önerilerden bahsettik: –

  • Yazılımın indirilmesi ve yüklenmesi için yalnızca resmi uygulama mağazaları kullanılmalıdır.
  • Tüm bağlı cihazlarınızın saygın bir anti-virüs ve internet güvenlik programı tarafından korunduğundan emin olun.
  • Mümkün olduğunda, güçlü parolaların kullanıldığından ve çok faktörlü kimlik doğrulamanın zorunlu kılındığından emin olun.
  • Biyometrik güvenlik özelliklerinin etkinleştirildiğinden emin olun.
  • Telefonunuza gelen SMS veya e-posta yoluyla herhangi bir bağlantı alırsanız, orijinalliğini doğrulamadan bu bağlantıları açmadığınızdan emin olun.
  • Android cihazınız Google Play Protect tarafından korunuyorsa, etkinleştirildiğinden emin olun.
  • Herhangi bir izni etkinleştirdiğinizde, bunu dikkatli bir şekilde yaptığınızdan emin olun.
  • Bilgisayarınızdaki işletim sisteminin, uygulamaların ve aygıtların güncel olduğundan emin olun.
  • Mobil cihazlara yüklenen uygulamaların, düzenli olarak kullandıkları mobil/Wi-Fi veri miktarıyla uyumlu olduğundan emin olun.
  • Anti-virüs bildirimlerini ve Android işletim sistemi uyarılarını takip ettiğinizden emin olun ve gerektiğinde uygun işlemi yapın.
  • Kullanılmadıklarında Wi-Fi/Mobil verilerin kapalı olduğundan emin olun.
  • Sahip olduğunuz tüm medya dosyalarının bir yedeğini almalısınız.
  • Herhangi bir hileli işlem olması durumunda en kısa sürede bankanıza bildirmelisiniz.
  • Gelecekteki kötü amaçlı yazılım saldırılarını önlemek için, bankaların ve diğer finans kurumlarının müşterilerini kendilerini telefon, SMS veya e-posta yoluyla nasıl koruyacakları konusunda eğitmeleri gerekiyor.

Hizmet Olarak Sızma Testi – Red Team ve Blue Team Workspace’i İndirin



Source link