Fernando Ortega ve Vishnu Pratapagiri liderliğindeki Zimperium Zlabs’taki siber güvenlik araştırmacıları, meşru mobil uygulamaları devralmak için devasa sanallaştırma adı verilen gelişmiş bir teknik kullanarak Godfather Android kötü amaçlı yazılımının tehlikeli yeni bir versiyonunu ortaya çıkardılar. Özellikle bankacılık ve kripto para birimi uygulamalarını hedefler ve kendi cihazınızı etkili bir şekilde casusa dönüştürür.
Sanallaştırma hilesi
Sadece sahte bir resim göstermek yerine, kötü amaçlı yazılım, bankacılık veya kripto uygulamanızın gerçek bir kopyasını kendi kontrollü alanı, bir kum havuzu içinde indirip çalıştıran gizli bir ana bilgisayar uygulaması yükler. Gerçek uygulamanızı açmaya çalıştığınızda, kötü amaçlı yazılım sizi bu sanal sürüme yönlendirir.
Kötü amaçlı yazılım daha sonra gerçek zamanlı olarak yazdığınız her eylemi, dokunun ve kelimeyi izler ve kontrol eder, bu da gerçek uygulamayla etkileşime girdiğiniz için yanlış bir şey fark etmenizi neredeyse imkansız hale getirir. Bu sofistike teknik, saldırganların kullanıcı adları, şifreler ve cihaz pimleri almasını sağlayarak hesaplarınızın tam kontrolünü elde etmesini sağlar.
Bu yöntem saldırganlara büyük bir avantaj sağlıyor. Hassas verileri girerken çalabilir ve hatta uygulamanın nasıl çalıştığını değiştirebilir ve bir telefonu köklendirmeyi algılayanlar da dahil olmak üzere güvenlik kontrollerini atlayabilirler. Özellikle, Godfather Banking kötü amaçlı yazılım, aldatıcı saldırılarını yürütmek ve algılamadan kaçmak için VirtualApp ve Xposedbridge gibi çeşitli meşru açık kaynaklı araçları yeniden düzenleyerek inşa edilmiştir.
Küresel hedefler ve kaçamak manevralar
Vaftiz babası gelişmiş sanallaştırmasını kullanırken, aynı zamanda geleneksel kaplama saldırılarını kullanmaya devam ederek, aldatıcı ekranları doğrudan meşru uygulamalara yerleştirir. Bu ikili yaklaşım, tehdit aktörlerinin yöntemlerini uyarlama konusunda dikkate değer yeteneğini göstermektedir.
Şirketin blog yayınına göre, vaftiz babası Android kötü amaçlı yazılım kampanyası, küresel olarak 484 uygulamayı hedef alan yaygındır, ancak son derece gelişmiş sanallaştırma saldırısı şu anda 12 belirli Türk finans kurumuna odaklanmaktadır. Bu geniş erişim sadece bankacılık ve kripto para platformlarını değil, aynı zamanda ödeme, e-ticaret, sosyal medya ve iletişim için büyük küresel hizmetleri de içerir.
Kötü amaçlı yazılım ayrıca güvenlik araçları tarafından bulunmamak için akıllı hileler kullanır. APK dosyalarının (Android uygulama paketlerinin) bir araya getirilme şeklini değiştirerek, şifreli görünmelerini veya yanıltıcı bilgiler eklemelerini sağlamak için yapılarıyla kurcalayarak değiştirme şeklini değiştirir. $JADXBLOCK. Ayrıca zararlı kodunun çoğunu uygulamanın Java kısmına taşır ve Android Manifest dosyasını alakasız bilgilerle okumayı zorlaştırır.
Daha fazla problama, Godfather’ın kullanıcıları uygulamasının gizli kısımlarını yüklemeye kandırmak için Android’in erişilebilirlik hizmetlerini (engelli kullanıcılara yardımcı olmak için tasarlanmış) kullandığını ortaya koydu. “Uygulamanın tüm özelliklerini kullanma iznine ihtiyacınız var” gibi aldatıcı mesajlar kullanır ve erişilebilirlik izinlerini kazandıktan sonra, kullanıcı bilgisi olmadan gizlice daha fazla izin verebilir.
Ayrıca, kötü amaçlı yazılım, kontrol sunucusuna (C2) bağlandığı gibi önemli bilgilerini kodlanmış biçimde gizler ve izlemeyi zorlaştırır. Etkin olduktan sonra, ekranınızın ayrıntılarını saldırganlara gönderir ve onlara cihazınızın gerçek zamanlı görünümünü verir. Dolayısıyla, bu keşif, tehditlerin daha karmaşık ve daha zor hale geldiği için mobil güvenlikte devam eden zorluğu vurgulamaktadır.
“Bu kesinlikle yeni bir teknik ve potansiyelini görebiliyorum,“ dedi Casey Ellis, Bugcrowd’un kurucusu. “Tehdit aktörlerinin onu Turkiiye’nin dışına dağıtmaya karar verip vermediklerini ve diğer tehdit aktörlerinin benzer bir yaklaşımı çoğaltmaya çalışıp çalışmadıklarını, vahşi doğada ne kadar etkili olduğunu görmek ilginç olacak.“