İnsan Güvenliği’nin Satori Tehdit İstihbarat Ekibi, 24 aldatıcı uygulama kullanarak 50.000’den fazla Android cihazını tehlikeye atan “Badbox 2.0” olarak adlandırılan sofistike bir kötü amaçlı yazılım operasyonunu ortaya çıkardı.
Bu operasyon, tehdidi kısmen bozmak için Google, Trend Micro ve Shadowserver ile işbirliği yapan araştırmacılara göre, ilk olarak 2023’te tanımlanan orijinal Badbox kampanyasının büyük bir genişlemesini temsil ediyor.
Kötü amaçlı yazılım, bağlı TV kutuları, tabletler, dijital projektörler ve araç bilgi-eğlence sistemleri dahil olmak üzere öncelikle düşük maliyetli “markalı” Android açık kaynak proje cihazlarını hedef aldı.
Cihazlar, “BB2Door” adlı araştırmacıların tehdit aktörlerine, tehlikeye girmiş sistemlere kalıcı ayrıcalıklı erişim sağlayan sofistike bir arka kapıdan enfekte olmuştur.
İnsan Güvenliği’nin Satori Tehdit İstihbarat Ekibi’ndeki araştırmacılar, operasyonda yer alan dört farklı tehdit aktör grubunu belirlediler: Salestracker Group, Moyu Group, Lemon Group ve LongTV.
Bu gruplar, konut vekil hizmetleri, programatik reklam sahtekarlığı ve tıklama sahtekarlığı dahil olmak üzere birden fazla dolandırıcılık planı uygulamak için ortak altyapı ve iş bağlantıları yoluyla işbirliği yaptı.
Arka kapı, Libanl adlı kötü amaçlı bir kütüphane yükleyerek çalıştı.
Etkinleştirildiğinde, kod komut ve kontrol sunucularıyla iletişimi sürdürmekten sorumlu birden fazla dosyayı indirip yükler.
.webp)
Aşağıdaki kod snippet, arka kapının nasıl başlatıldığını gösterir:-
.class public Lcom/hs/App;
.super Landroid/app/Application;
.source "SourceFile"
.method static constructor ()V
.locals 2
invoke-static {}, Ljava/util/concurrent/Executors;->newSingleThreadScheduledExec
move-result-object v0
sput-object v0, Lcom/hs/App;->b:Ljava/util/concurrent/ScheduledExecutorService;
const-string v0, "anl"
invoke-static {v0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V
const-wide/32 v0, 0x1d4c0.webp)
24 kötü niyetli uygulama, Google Play Store’daki meşru uygulamalarla “Evil Twins” olarak işlev gördü ve reklam taleplerinde meşru görünmek için paket adlarını meşru “Decoy Twins” ile paylaştı.
Bu aldatma, tehdit aktörlerinin büyük bir ölçekte hileli reklam trafiği üretmesine izin verdi ve gizli reklam şemaları haftalık 5 milyar hileli teklif talebi üretti.
Google’ın yanıtı
Google, bu tehditle mücadele etmek için birden fazla önlem aldı. Google Play Protect artık kullanıcıları otomatik olarak uyarıyor ve Google Play Services ile sertifikalı cihazlarda yükleme zamanında badbox davranışını sergileyen uygulamaları engelliyor.
Ayrıca Google, Badbox 2.0 ile ilişkili yayıncı hesaplarını reklam ekosisteminden sonlandırdı.
Enfeksiyon konusunda endişe duyan cihaz sahipleri, tanımlanan tüm enfekte cihazlar Çin’de üretilen ve küresel olarak sevk edilen belirsiz Android açık kaynak proje cihazları olduğundan, cihazlarının Google Play Protect Sertifikalı olup olmadığını doğrulamalıdır.
Kullanıcılar ayrıca Google Play Protect’in etkin olduğundan emin olmalı ve gayri resmi kaynaklardan uygulamaları indirmekten kaçınmalıdır.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free