Android ekosistemindeki bir gelişmede, “goril” olarak bilinen yeni bir kötü amaçlı yazılım varyantı, öncelikle SMS müdahalesi yoluyla finansal ve kişisel bilgileri hedefleyen tanımlanmıştır.
Kotlin’de yazılan Gorilla, gelişimsel bebeklik döneminde gibi görünüyor, ancak zaten kaçınma, kalıcılık ve veri çıkarma için sofistike mekanizmalar sergiliyor.
Gorilla’nın kodu gizlenmez ve aşırı günlük ve kullanılmayan sınıflar, halen aktif geliştirme altında bir yazılımın ayırt edici özellikleri içerir.
.png
)
Bu temel yönlere rağmen, kötü amaçlı yazılım, Read_Phone_State ve Read_Phone_Numbers gibi izinler isteyerek SIM kart ayrıntılarına ve telefon numaralarına erişmesini sağlayarak Android’in güvenlik modelinin stratejik bir anlayışını göstermiştir.
Android hizmetleri aracılığıyla pil optimizasyonlarını atlama ve kalıcı erişimi sürdürme yeteneği, hemen şüphe yaratmadan uzun süreli izleme potansiyelinin altını çizmektedir.
SMS müdahalesi ve komut ve kontrol
Gorilin temel işlevlerinden biri SMS müdahalesine odaklanmasıdır (T1582 – SMS kontrolü).
Kendini varsayılan SMS işleyicisine tanıttıktan sonra, toplanan mesajları “bankalar” ve “Yandex” gibi etiketlerde kategorize ederek finansal işlemlere birincil odağını gösteriyor.
Bu veriler daha sonra WSOCKET’ler aracılığıyla bir komut ve denetim (C2) sunucusuna geri döner: // $ url/ws/cihazlar/? Cihaz_id = $ android_id & platform = android.
Bu iletişim yalnızca hasat edilen bilgileri geri göndermekle kalmaz, aynı zamanda sunucunun SMS gönderme, ayarları güncelleme veya cihaz bilgilerini almak gibi komutları basmasına da izin verir.
Gizli ve kalıcılık
Gorilla, tespit edilmemiş ve operasyonel kalmak için çeşitli stratejiler kullanır. Foreground_service iznini gerektiren yürütmeyi sürdürmek için ön plan hizmetlerini kullanır (T1541 – ön plan kalıcılığı).
Bazı Android cihazlarda yaygın olan agresif pil tasarrufu özelliklerini atlatmak için Gorilla, özellikle Huawei veya Honor gibi markaların cihazlarında kalp atışı hizmeti yürütmesini geciktirir.
Dahası, akıllıca kullanıcılardan pil optimizasyonlarını göz ardı etmelerini ister ve çalışmaya devam edebileceğinden emin olur.
C2 panelinde “devlet otoritesi” ve “önemli” gibi etiketlerin varlığı, Goril’in sadece finansal kazançtan sonra olmayabileceğini, aynı zamanda casusluk veya gözetim amaçlarına da hizmet edebileceğini düşündürmektedir.
Catalyst araştırmacılarına göre, kullanılmayan bir WebViewActivity sınıfının dahil edilmesi, kimlik avı saldırıları için gelecekteki potansiyel kullanımlara işaret ediyor ve hileli bankacılık oturum açma sayfalarını kimlik bilgilerini hasat etmek için görüntülemek için WebView’dan yararlanıyor.
Gorilla yeni aşamalardayken, ek özellikler uygulanırsa evrimi önemli tehditler oluşturabilir.
Güvenlik araştırmacıları, gelecekteki yinelemeler tek seferlik şifreleri (OTP) yakalamak veya kimlik avı saldırılarını USSD kodları gibi sofistike araçlarla dağıtmak için yöntemler getirebileceğinden, gelişimini yakından izlemeye devam etmelidir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!