Temmuz 2024’ten beri aktif olan ve Bangladeş’teki öğrencileri açıkça hedefleyen Sikkahbot adlı bir Android kötü amaçlı yazılım izleyicisi. Bangladeş Eğitim Kurulu’nun başvuruları olarak gizlenen Sikkahbot, kurbanları burs vaatleriyle canlandırıyor, onları hassas bilgileri paylaşmaya zorluyor ve yüksek riskli izinler talep ediyor.
Kurulduktan sonra kişisel ve finansal verileri toplar, SMS mesajlarını keser, erişilebilirlik hizmetini kötüye kullanır ve USSD tabanlı işlemler de dahil olmak üzere otomatik bankacılık işlemlerini yürütür.
Kilit çıkarımlar
- Sikkahbot, hileli burs uygulamalarını dağıtmak için Bangladeş Eğitim Kurulu’nu taklit eder.
- Dağıtım, kurbanları kötü niyetli APK indirme sitelerine yönlendiren kısaltılmış bağlantılar yoluyla gerçekleşir, muhtemelen kampanyalar yoluyla gerçekleşir.
- Kötü amaçlı yazılımlar kişisel detayları ve ödeme bilgilerini (cüzdan numarası, pim, ödeme türü) toplar.
- Mağdurlar, derin cihaz kontrolü sağlayan erişilebilirlik hizmeti, SMS erişimi, çağrı yönetimi ve bindirme izinleri verilmeye zorlanır.
- Sikkahbot, banka ile ilgili SMS’yi keser, Bkash, Nagad ve DBBL uygulamalarındaki otomatik olarak kimlik bilgilerine erişilebilirlik hizmetini kötüye kullanır ve otomatik USSD işlemlerini yürütür.
- Temmuz 2024’ten bu yana aktif olan Sikkahbot, Virustotal’da düşük algılama oranlarını korurken, daha yeni varyantlar gelişmiş otomasyon özelliklerini sergiliyor ve bu da tehdit aktörleri tarafından sürekli gelişmeyi gösteriyor.
Cril’in soruşturması, Sikkahbot’un Bangladeş Eğitim Kurulu’ndan resmi burs portalları olarak maskelendiğini ortaya koydu.
Mağdurlar, hxxps gibi kısaltılmış URL’ler içeren kimlik avı mesajları alır: // bit[.]ly/sikkahbord, hxxps: // bit[.]ly/eğitim-2025 ve hxxps: // appsloads[.]Üst/Govt[.]Kullanıcıları APK indirme sitelerini yönlendiren APK.
Kurulum üzerine uygulama, öğrencileri Google veya Facebook ile oturum açmalarını ister, ardından cüzdan numarası, PIN ve ödeme türü de dahil olmak üzere kişisel bilgiler (isim, departman ve enstitü) ve ödeme bilgileri ister.
Kayıttan sonra, kullanıcılara bir temsilcinin kendilerine başvuracağı söylenir, ancak bunun yerine kötü amaçlı yazılım kötü niyetli yeteneklerini etkinleştirir.
Teknik analiz
İzin kötüye kullanımı ve veri toplama
Kurulduktan sonra Sikkahbot, kullanıcılardan erişilebilirlik hizmetini etkinleştirmelerini, SMS erişimini hibe etmelerini, çağrıları yönetmesini ve kaplamalara izin vermesini isteyen bir ayar ekranı sunar. Bu yüksek riskli izinler, kötü amaçlı yazılımlara cihaz üzerinde müdahaleci kontrol sağlar.
SMS müdahalesi
Sikkahbot, Bkash, Nagad ve MyGP ile ilgili anahtar kelimeler için gelen metinleri ve 16216 ve 26969 gibi sayıları izlemek için bir SMS yayın alıcısını kaydeder.
Tespit edilen mesajlar, saldırganın Firebase sunucusuna HXXPS: // Update-app-Sujon-Default-RTDB adresinden iletilir[.]Firebaseio.com.
Bankacılık Uygulaması Manipülasyonu
Erişilebilirlik hizmetini kötüye kullanarak Sikkahbot, üç bankacılık uygulamasında kullanıcı etkinliğini izler-Bkash, Nagad ve Hollandalı-Bangla Bank.
Hedeflenen bir uygulama başlatıldığında, kötü amaçlı yazılım Firebase sunucusundan bir PIN alır ve otomatik olarak oturum açma alanlarına enjekte eder ve kullanıcı girişini atlar.
Otomatik USSD işlemleri
Mağdurlar hedeflenen bankacılık uygulamalarından kaçınırsa, Sikkahbot USSD merkezli sahtekarlığa geçer. Firebase sunucusundan USSD kodlarını ve SIM yuvası ayrıntılarını alır, çağrıları başlatır, USSD yanıt iletişim kutusundaki gerekli alanları doldurur ve “Gönder”, “Gönder” veya “Tamam” düğmelerindeki muslukları simüle eder. Bu çevrimdışı saldırı, İnternet bağlantısı olmadan işlemleri sağlar.
Varyant evrimi ve tespit
Sikkahbot’un ilk örnekleri, finansal sahtekarlık için kimlik avı ve SMS müdahalesine dayanıyordu. Eylül 2025’ten bu yana Cril, erişilebilirlik hizmeti otomasyonunu içeren geliştirmeler gözlemledi ve gelişen taktikleri gösterdi.
Temmuz 2024’ten bu yana devam etmesine rağmen, Sikkahbot’un varyantları, tehdit aktörlerinin geleneksel güvenlik önlemlerinden kaçınma yeteneğinin altını çizerek virustotal üzerinde düşük algılama oranlarını koruyor.
Sikkahbot, Bangladeşli öğrencileri burs yardımı kisvesi altında hedefleyen sofistike, çok yönlü bir kampanyayı temsil ediyor.
Kimlik avı, SMS müdahalesi, erişilebilirlik hizmeti istismarı ve çevrimdışı USSD otomasyonunu birleştirerek saldırganlar kişisel ve finansal verileri toplayabilir ve yetkisiz işlemler yürütebilir.
Kötü amaçlı yazılımların düşük algılama profili ve devam eden varyant güncellemeleri, artan mobil güvenlik kontrolleri, gelişmiş tehdit görünürlüğü ve proaktif savunma stratejileri ihtiyacını vurgulamaktadır.
Kuruluşlar ve bireyler hem uyanık kalmalı, istenmeyen bursla ilgili indirmeleri incelemeli ve doğrulanmamış uygulamalara yüksek riskli izin vermeyi sınırlamalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.