Siber Suçlar, Finans ve Bankacılık, Dolandırıcılık Yönetimi ve Siber Suçlar
Android Bankacılık Kötü Amaçlı Yazılımı Tespitten Kaçmak İçin Meşru Gizleme Aracını Kullandı
Jayant Chakravarti (@JayJay_Tech) •
5 Ekim 2023
Siber güvenlik şirketi Group-IB, tehdit aktörlerinin 51 Vietnam finansal uygulaması, e-cüzdan ve kripto para birimi uygulamasından kimlik bilgilerini çalmak için GoldDigger adlı yeni ve gelişmiş bir bankacılık Truva Atı kullandığını söyledi.
Ayrıca bakınız: İsteğe Bağlı | Kafanızı Buluta Taşıyın: Modern Güvenlik Sorunları ve Çözümleri
Group-IB Perşembe günü yayınladığı raporda GoldDigger Truva Atı’nı Haziran ayından bu yana takip ettiğini söyledi.
Tehdit aktörleri çok sayıda sahte Vietnam kurumsal web sitesi oluşturdu ve kısa mesajlar ve kimlik avı e-postaları yoluyla Vietnamlı mobil kullanıcılara sitelere bağlantılar dağıtarak Android Truva Atını Vietnam hükümet portalı veya yerel bir enerji şirketi için meşru bir uygulama olarak tanıttı.
Android kullanıcıları sahte bir web sayfasını ziyaret ettiğinde, uygulamayı indirmeden önce cihazlarının “Bilinmeyen Kaynaklardan Yükle” işlevini açmaları isteniyordu. GoldDigger kurulduktan sonra kullanıcılardan bir dizi müdahaleci özellik kazanmak için Erişilebilirlik Hizmetini etkinleştirmelerini istedi.
Group-IB, “GoldDigger’a Erişilebilirlik Hizmeti izinlerinin verilmesi, kullanıcı eylemlerine ilişkin tam görünürlük elde etmesine ve kullanıcı arayüzü öğeleriyle etkileşimde bulunmasına olanak tanıyor” dedi. “Bu, kurbanın bakiyesini görebileceği, iki faktörlü kimlik doğrulama için verilen ikinci kimlik bilgisini toplayabildiği ve kimlik bilgilerini yakalamasına olanak tanıyan tuş kaydetme işlevlerini uygulayabildiği anlamına geliyor.”
GoldDigger, ana cihazı Vietnam’daki 51’e kadar finansal uygulama, e-cüzdan ve kripto uygulaması için tarayabilir, depolanan kimlik bilgilerini yakalayabilir ve yakalanan verileri komuta ve kontrol sunucularına sızdırabilir.
GoldDigger, bir cihaza uzaktan erişim sağlamak için kullanıcı etkileşimlerini simüle etme ve yasal bir cihazdan ödeme yetkisi vermek için kimlik doğrulama atlaması yapma yeteneğine sahiptir.
Group-IB, GoldDigger’ın bir dizi veri sızdırma faaliyeti gerçekleştirecek şekilde yapılandırıldığını ancak siber suçluların kötü amaçlı yazılımın tüm işlevlerini etkinleştirip etkinleştirmediğinden emin olmadığını söyledi.
Group-IB’ye göre siber suçlular, finansal kuruluşları hedeflemek için yüzlerce Android bankacılık Truva Atı kullanıyor ancak GoldDigger ile, araştırmacılar kötü amaçlı etkinlikleri tespit etmek için sanal alanlarda veya emülatörlerde tarama yapmış olsa bile tespit ve analizden kaçacak özellikler oluşturmaya özel dikkat gösterdiler. .
Araştırmacılar, GoldDigger operatörlerinin Virbox Protector adı verilen meşru bir gelişmiş koruma mekanizması kullandığını buldu. Araç, yazılım geliştiricilerin uygulamaları, uygulama kitaplıklarını ve dil kodlarını kaynak koda dönüştürme ve tersine mühendislik girişimlerinden korumasını sağlayarak kodun kopyalanamamasını sağlar ve tehdit aktörlerinin belleğe kötü amaçlı kod yerleştirmesini engeller. Bu, kötü amaçlı uygulamanın tespit edilmesini zorlaştırır.