Zscaler ThreatLabz ekibi, Google Play mağazasında bir Lifestyle uygulamasına yerleştirilmiş ‘Xenomorph’ bankacılık truva atını buldu. Uygulamanın adı “Todo: Day manager”dir ve 1.000’den fazla indirilme sayısına sahiptir.
‘Xenomorph’ adlı truva atı, kullanıcıların cihazlarının bankacılık uygulamalarından giriş bilgilerini çalar. Ek olarak, kullanıcıların SMS mesajlarını ve bildirimlerini engelleyerek tek seferlik şifrelere ve çok faktörlü kimlik doğrulama isteklerine erişmesini sağlar.
Zscaler ThreatLabz ekibi, “Analizimiz, Xenomorph bankacılık kötü amaçlı yazılımının, uygulamanın yüklenmesinin ardından sahte bir Google Hizmeti uygulaması olarak GitHub’dan çıkarıldığını tespit etti”
“Kullanıcılardan erişim iznini etkinleştirmelerini istemekle başlar. Sağlandığında, kendisini cihaz yöneticisi olarak ekler ve kullanıcıların Cihaz Yöneticisini devre dışı bırakmasını engelleyerek telefondan kaldırılabilir hale getirir”.
Xenomorph Enfeksiyon Döngüsü
Uygulama, bir Firebase sunucusuna bağlanarak ilk başlatıldığında bankacılık kötü amaçlı yazılım yükü URL’sini alır.
Kötü amaçlı Xenomorph bankacılık kötü amaçlı yazılım örnekleri daha sonra Github’dan indirilir. Daha sonra, daha fazla komut aramak ve enfeksiyonu yaymak için bu finansal kötü amaçlı yazılım, Telegram sayfa içeriği veya statik kod rutini kullanarak komut ve kontrol (C2) sunucularıyla iletişim kurar.
Araştırmacılar, kötü amaçlı yazılımın yalnızca “Etkin” parametresi true olarak ayarlanırsa daha fazla bankacılık yükünü indireceğini söylüyor. Ayrıca, bankacılık yükü, RC4 şifrelemesi ile kodlanmış Telegram sayfası bağlantısına sahiptir.
Yürütülmesinin ardından, bankacılık yükü Telegram sayfasına ulaşacak ve o sayfada barındırılan içeriği indirecektir.
C2 etki alanlarının RC4’te kodlandığı ve kod içinde saklandığı fark edildi. Yük, daha fazla talimat alabilmesi için yüklenen her uygulama hakkında C2’yi bilgilendirir.
Bir durumda, virüslü cihaza yasal bir uygulama yüklenirse, hedeflenen bir bankacılık uygulamasının sahte oturum açma sayfasını görüntüler.
“Expense Keeper” adlı başka bir programın da benzer şekilde hareket ettiği ThreatLabz tarafından görüldü. Bu uygulama çalıştırıldığında “Enabled parametresi”nin false olarak ayarlandığı görülmektedir.
Bankacılık yükü için Dropper URL’si alınamadı. Aynı şekilde, ThreatLabz Google Güvenlik ekibiyle işbirliği yapar.
Son söz
Bu banka kimlik avı yükleyicileri, sıklıkla kullanıcıları zararlı programlar yüklemeleri için kandırmaya güvenir.
Kullanıcıların, yüklenen uygulamalara dikkat etmeleri istenmektedir. Bir Play Store uygulaması, kullanıcıları güvenilmeyen kaynaklardan yüklemeye veya yandan yüklemeye teşvik etmemelidir. Son olarak, çeşitli kimlik avı taktiklerini engellemek için kullanıcı farkındalığı çok önemlidir.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin