HABER ÖZETİ
“DroidBot” olarak adlandırılan şiddetli bir Android uzaktan erişim Truva Atı (RAT), bankalardan, kripto para birimi borsalarından ve diğer ulusal kuruluşlardan veri çalmak için tuş kaydı ve izlemenin yanı sıra gelen ve giden veri iletimi gibi casus yazılım özelliklerini kullanıyor. Ancak siber güvenlik analistlerinin DroidBot bankacılık Truva Atıyla ilgili asıl endişesi, bunun tam kapsamlı bir hizmet olarak kötü amaçlı yazılım operasyonuna dönüşmesidir.
Keşfin arkasındaki araştırmacılar, DroidBot RAT’ın 2024 ortasından bu yana aktif olduğu ve halihazırda en az 17 bağlı grup arasında yoğun bir rotasyon halinde olduğu ve Fransa, İtalya, Portekiz ve İspanya’daki kuruluşlara yönelik 77 siber saldırıda kullanıldığı konusunda uyardı. bir rapora göre Cleafy’den. Dahası, kanıtlar DroidBot’un Android bankacılık Truva Atı sürekli olarak güncellenmektedir ve muhtemelen Latin Amerika’ya yayılmanın eşiğindedir.
Analizler, geliştiricilerin anadili Türkçe olan kişiler olduğunu ancak İspanyolca konuşulan ülkelere doğru genişlemeye başladıklarını gösterdi. Araştırmacılar bunun, operasyonun Orta ve Güney Amerika’ya genişleme niyetinin bir işareti olduğunu söyledi.
Raporda, “Birden fazla örnekte gözlemlenen tutarsızlıklar, bu kötü amaçlı yazılımın hala aktif olarak geliştirilme aşamasında olduğunu gösteriyor” dedi. “Bu tutarsızlıklar arasında kök kontrolleri, farklı düzeylerde şaşırtma ve çok aşamalı paket açma gibi yer tutucu işlevler yer alıyor. Bu tür farklılıklar, kötü amaçlı yazılımın etkinliğini artırmak ve onu belirli ortamlara uyarlamak için devam eden çabalara işaret ediyor.”
Hizmet Olarak Android Bankacılık Truva Atı Ortaya Çıkıyor
Araştırmacılar, DroidBot’u düşürmek için, saldırganların kötü amaçlı yazılımları kötü amaçlı bankacılık uygulamalarında ve diğer her yerde bulunan uygulamalarda gizlediğini ve bunun pek de yeni olmadığını söyledi.
Araştırmacılara göre RAT’ın yeniliği, SMS mesajı dinleme, keylogging ve kurban cihazının periyodik olarak ekran görüntülerini yakalama gibi gözetim araçlarının kullanılmasıdır. Kötü amaçlı yazılım ayrıca tehdit aktörlerinin komutları uzaktan yürütmesine ve kurbanın cihazını çalıştırmasına olanak sağlamak için erişilebilirlik hizmetlerinden de yararlanıyor.
Raporda, “Ayrıca, MQTT aracılığıyla giden verileri ileten ve HTTPS aracılığıyla gelen komutları alarak çift kanallı iletişimden yararlanarak gelişmiş operasyon esnekliği ve dayanıklılık sağlıyor” diye açıklandı. “Son örnekler Android bankacılık Truva atları Bu protokolü benimseyenlerin arasında Copybara ve BRATA/AmexTroll yer alıyor.”
Teknik özellikler bir yana, Cleafy araştırmacıları, yeni bir hizmet olarak bankacılık RAT iş modeli gibi görünen şeyin yükselişinin, tehdit ortamında önemli bir değişim olduğu yönünde alarmı artırdı.
“[W]Teknik zorluklar çok yüksek olmasa da asıl endişe verici nokta, saldırı yüzeyinin izlenmesini tamamen yeni bir düzeye çıkaracak olan bu yeni dağıtım ve bağlantı modelinde yatmaktadır.” Raporda, “Bu kritik bir durum olabilir” denildi. Bu kadar önemli bir veri setinin ölçeğini değiştirmek bilişsel yükü önemli ölçüde artırabilir.”