iVerify’daki siber güvenlik araştırmacıları, HyperRat adında, hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında siber suç forumlarında tanıtılan yeni bir Android uzaktan erişim truva atı (RAT) tespit etti. Araç, saldırganların virüslü cihazları uzaktan kontrol etmesine, hassas verileri toplamasına ve tek satır kod yazmadan toplu kimlik avı mesajları göndermesine olanak tanıyor.
HyperRat ücretli bir abonelik olarak çalışır. Bir alıcı katıldığında özelleştirilmiş bir kötü amaçlı APK alıyor ve satıcı tarafından yönetilen web tabanlı bir kontrol paneline erişim sağlıyor. Bu panel, geliştiricinin arka uç altyapısını korurken operatörlerin virüslü cihazları izlemesine, komutlar göndermesine ve günlükleri görüntülemesine olanak tanır. Araştırmacılar, bu modelin, otomasyonun artık önemli bir satış noktası haline geldiği yer altı Android kötü amaçlı yazılım pazarındaki değişimi gösterdiğini söylüyor.
Web Kontrol Paneli ve Cihaz Yönetimi
iVerify’ın blog gönderisine göre araştırmacıları, virüs bulaşmış telefonları numaraya, IP adresine ve son etkinliğe göre listeleyen bir gösterge tablosunu gösteren kontrol arayüzünden alınan ekran görüntülerini analiz etti.
Operatörler bu panelden bir VNC oturumu açabilir, kurbanın SIM’inden SMS mesajları gönderebilir, arama kayıtlarını alabilir, izinleri değiştirebilir ve arşivlenmiş mesajları indirebilir. Toplu mesajlaşma için etiketlenen bir düğme, kötü amaçlı yazılımın yalnızca gözetim için değil, spam veya kimlik avı kampanyaları için de kullanılabileceğini gösteriyor.
Başka bir ekran görüntüsü ayrıntılı izin yönetimini gösteriyor. HyperRat operatöre internet erişimi, arama ve SMS kontrolü ve yeniden başlatmanın ardından otomatik yeniden başlatma dahil olmak üzere hangi Android ayrıcalıklarının etkin olduğunu bildirir. Ayrıca, yeniden başlatma veya kullanıcı müdahalesinden sonra bile bir cihazın kalıcılığını korumak için yaygın olarak kullanılan teknikler olan erişilebilirlik izinleri talep edebilir ve pil optimizasyonunu atlayabilir.
Uygulama Tarama ve Toplu SMS
Kötü amaçlı yazılım, yüklü uygulamaları sıralayarak operatöre paket adlarının ve uygulama başlıklarının tam listesini verebilir. Bu, hangi uygulamaların kimliğine bürüneceklerine karar vermelerine olanak tanır kimlik avı katmanları. Örneğin, bir bankacılık veya ödeme uygulaması tespit edilirse HyperRat, bu hizmeti taklit eden sahte bir giriş ekranını tetikleyebilir, kimlik bilgilerini toplayabilir ve ardından şüpheyi önlemek için kontrolü gerçek uygulamaya geri verebilir.
Kontrol panelinde ayrıca saldırganın doğrudan kurbanın telefonundan kimlik avı mesajları göndermesine olanak tanıyan bir “Kişilere gönder” formu da bulunur. Operatörler SIM yuvalarını seçebilir, mesaj gecikmelerini ayarlayabilir ve hangi kişilerin hedefleneceğini seçebilir. Bu mesajlar yasal cihazlardan geldiğinden genellikle operatör düzeyindeki spam filtrelerini atlar ve daha fazla potansiyel kurbana ulaşır.
Telgraf Tabanlı Kontrol
HyperRat, uzaktan kontrol ve bildirimler için Telegram botlarıyla entegre olur. Operatör, uyarıların ve günlüklerin doğrudan Telegram sohbetleri aracılığıyla iletilmesi için sohbet kimliklerini ve API belirteçlerini yapılandırabilir. Şifreli mesajlaşma platformunu kullanmak, saldırganların cihazları gizlice yönetmesine ve geleneksel komuta ve kontrol trafik modellerine dayanan güvenlik izleme sistemleri tarafından tespit edilmesini engellemesine olanak tanır.
Özel APK Oluşturucu
Yerleşik bir APK oluşturucu, saldırganın sahte bir ad ve simgeye sahip sahte bir Android uygulaması oluşturmasına olanak tanır. Oluşturucudaki seçenekler arasında uygulama simgesini gizleme, bildirimlere müdahale etme, SOCKS5 proxy’yi etkinleştirme, pil optimizasyonunu devre dışı bırakma ve uzaktan ekran erişimi için bir VNC modülünü başlatma yer alıyor. Oluşturucu ayrıca WebView modunu da destekleyerek uygulamanın saldırganın sunucusuna sessizce bağlanırken kendisini temel bir tarayıcı olarak gizlemesine olanak tanır.
Reklam ve Pazar Bağlamı
HyperRat, Rusça kanallarda “cihazınızı takip etmek ve kontrol etmek için yeni nesil Android uygulaması” olarak pazarlanıyor. Özellik listesi, SMS ve MMS mesajlarına tam erişim, otomatik SIM numarası alımı, tek tıklamayla mesaj arşivleme ve analitik içeren bir web kontrol panelini içerir.
HyperRat’ın görünümü, aylık ücret karşılığında benzer yetenekler sağlayan PhantomOS ve Nebula gibi diğer MaaS kitlerini takip ediyor. Bu platformlar, giriş engelini azaltarak deneyimsiz aktörlerin bile önceden oluşturulmuş altyapıyı kullanarak mobil casusluk veya kimlik bilgisi hırsızlığı kampanyaları yürütmesine olanak tanır.
Kullanıcılar, güvenilmeyen kaynaklardan gelen APK’ları dışarıdan yüklemekten kaçınmalı, hangi uygulamanın SMS için varsayılan olarak ayarlandığını kontrol etmeli ve erişilebilirlik hizmetlerine veya sistem ayarlarına erişim isteyen herhangi bir şeyin izinlerini düzenli olarak incelemelidir.