Hükümet kuruluşlarını taklit eden bir Android bankacılık trojanı olan Gigabud, başlangıçta Tayland, Filipinler ve Peru’yu hedef aldı. Kaynak kodu, Vietnam’ı hedef alan bir diğer Android bankacılık trojanı olan Golddigger ile önemli ölçüde örtüşüyor.
Gigabud’un Bangladeş, Endonezya, Meksika, Güney Afrika ve Etiyopya’yı da kapsayacak şekilde kapsamını genişleten, artan karmaşıklık ve coğrafi hedefleme gösteren ortak bir tehdit aktörüne işaret ediyor.
Araştırmacılar, kullanıcıları kötü amaçlı uygulamaları indirmeye kandırmak için kendilerini South African Airways ve Ethiopian Airlines olarak gizleyen ve Gigabud kötü amaçlı yazılımını yaymak için Google Play’i taklit eden kimlik avı sitelerini keşfettiler.
Güney Afrika’dan gelen kötü amaçlı yazılım örneklerinin ve Afrika havayolu temalarının bir araya getirilmesi, tehdit aktörlerinin hedef alanlarını hem Güney Afrika’yı hem de Etiyopya’yı kapsayacak şekilde genişlettiğini gösteriyor.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Gigabud kötü amaçlı yazılımı, sahte giriş sayfaları aracılığıyla sırasıyla HeyBanco ve M-Pajak’ı taklit ederek hedef alanını Meksika ve Endonezya’yı da kapsayacak şekilde genişletti.
Zararlı yazılımın dağıtımının Haziran 2024’ten bu yana artması, saldırının yoğunlaştığını gösteriyor.
Golddigger ile kod benzerlikleri paylaşıyor, bu da her ikisinin de arkasında ortak bir tehdit unsuru olduğunu gösteriyor ve meşru varlıkları taklit etmek için çeşitli simgelerin kullanılması, kurbanları aldatmayı amaçlayan sosyal mühendislik taktiklerinin altını çiziyor.
Kötü amaçlı yapılarını gizlemek için Virbox paketleyicisini kullanan, Golddigger kötü amaçlı yazılımına benzer kaçınma taktikleri kullanan, zip dosya formatını istismar eden ve kötüye kullanımın güvenlik çözümleri tarafından tespit ve analizi önemli ölçüde engelleyen yeni Gigabud kötü amaçlı yazılım örnekleri tespit edildi.
Son Gigabud örneklerinin analizi, Golddigger kötü amaçlı yazılımına güçlü bir benzerlik ortaya koyuyor. Her ikisi de bankacılık uygulamalarındaki belirli kullanıcı arayüzü öğelerini hedeflemek için yerel bir kütüphane olan “libstrategy.so”yu kullanıyor.
Gigabud, Yape (Peru) ve Dutch-Bangla Bank Rocket (Bangladeş) gibi ek bankacılık uygulamalarına destek sağlayarak Golddigger’ın işlevselliğini artırıyor. Bu da Gigabud’un gelişen yeteneklerini ve bu tür mobil bankacılık tehditlerine karşı daha fazla dikkatli olma ihtiyacını vurguluyor.
Daha önce Golddigger kötü amaçlı yazılımına atfedilen son örnekler, paketten çıkarılan analizin bilinen Gigabud varyantlarına sahip paylaşılan kütüphaneleri ve sınıfları ortaya çıkarmasının ardından Gigabud olarak yeniden sınıflandırıldı.
Bir kimlik avı sitesi aracılığıyla dağıtılan yeni bir paketlenmemiş Gigabud örneği, Virbox paketlemesinden yoksun ancak özellikle sahte banka iletişim kutusu gösterimlerinde eski sürümlerle kod benzerliklerini koruyor.
Son Gigabud kötü amaçlı yazılım örnekleri, Retrofit for C&C iletişimini kullanır ve kişiler, SMS ve ekran kayıtları gibi çeşitli kullanıcı verilerini yüklemek için uç noktaları içerir.
Strateji yerel dosyasındaki hedeflenen banka uygulamalarının ayrıştırılmış kullanıcı arayüzü öğesi kimlikleri
Kötü amaçlı yazılım, finansal bilgileri çalmak için bankacılık uygulamalarının belirli kullanıcı arayüzü öğelerini hedef almak amacıyla Golddigger kötü amaçlı yazılımı tarafından da kullanılan libstrategy.so kütüphanesini de kullanıyor; bu kütüphanenin tekrar kullanılması, her iki kötü amaçlı yazılım türünün de arkasında aynı tehdit aktörünün olduğunu gösteriyor.
Cyble Intelligence ve Research Labs tarafından yapılan analizler, Golddigger ile Gigabud zararlı yazılımı arasında güçlü bağlantılar olduğunu ve tek bir saldırganın olabileceğini gösteriyor. Öte yandan, Gigabud örneklerindeki ve paylaşılan tekniklerdeki son artış, daha gelişmiş taktikler ve daha geniş bir hedef yelpazesine işaret ediyor.
Bangladeş, Endonezya, Meksika, Güney Afrika ve Etiyopya’daki yeni özellikler ve saldırılar, gelişen tehdidi vurgularken, paylaşılan kod, benzer kimlik avı ve kimliğe bürünme taktikleri bağlantıyı doğruluyor ve daha yüksek dikkat ve gelişmiş savunma gerektiriyor.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces