Siber güvenlik araştırmacıları, gasp mesajlarını görüntülemek için fidye yazılımı tarzı kaplama ekranlarına sahip Hook adlı yeni bir Android bankacılık Truva atı varyantını keşfettiler.
Zimperium Zlabs araştırmacısı Vishnu Pratapagiri, “En son varyantın belirgin bir özelliği, kurbanı fidye ödemesini havale etmeye zorlayan tam ekran fidye yazılımı kaplamasını dağıtma kapasitesidir.” Dedi. “Bu kaplama, her ikisi de komut ve kontrol sunucusundan dinamik olarak alınan bir cüzdan adresi ve miktarının yanı sıra endişe verici bir ‘*uyarı*’ mesajı sunar.”
Mobil güvenlik şirketi, “Ransome” komutunun C2 sunucusu tarafından verildiğinde kaplamanın uzaktan başlatıldığını söyledi. Overlay, “delete_ransome” komutunu göndererek saldırgan tarafından reddedilebilir.
Hook, tesadüfen, kaynak kodunun internet üzerinden halka açık bir dizinde sızdırılmış olan ERMAC bankacılığı Truva atının bir dalı olduğu değerlendirildi.
Android’i hedefleyen diğer bankacılık kötü amaçlı yazılımlar gibi, sahtekarlık ve komutan cihazları uzaktan otomatikleştirmek için kullanıcıların kimlik bilgilerini çalmak ve Android erişilebilirlik hizmetlerini kötüye kullanmak için finansal uygulamaların üstünde sahte bir kaplama ekranı görüntüleyebilir.
Diğer önemli özellikler arasında belirtilen telefon numaralarına SMS mesajları gönderme, kurbanın ekranını aktarma, öne bakan kamerayı kullanarak fotoğraf çekme ve kripto para birimi cüzdanlarıyla ilişkili çerezleri ve kurtarma ifadelerini çalma bulunur.
En son sürüm, Zimperium, yeni eklenen 38 komutu destekleyen, 107 uzaktan komutu destekleyen büyük bir adım işaret ediyor. Bu, kullanıcı jestlerini yakalamak için şeffaf kaplamalar, kurbanları hassas verileri paylaşmak için kandırmak için sahte NFC kaplamaları ve kilit ekran pimi veya deseni toplamak için aldatıcı istemleri içerir.
Yeni eklenen komutların listesi aşağıdaki gibidir –
- görevlertam ekranlı bir WebView kaplama kullanarak sahte bir NFC tarama ekranı görüntülemek ve kart verilerini okumak için
- Unlock_pinsahte bir cihazın kilidini veya pin kodunu toplamak ve cihaza yetkisiz erişim kazanmak için sahte bir cihazın kilidini açma ekranını görüntülemek için
- takencardbir Google Pay arabirimini taklit ederek kredi kartı bilgilerini toplamak için sahte bir bindirme görüntülemek için
- start_record_gestureşeffaf bir tam ekran kaplamasını görüntüleyerek kullanıcı hareketlerini kaydetmek için
Hook’un, kötü niyetli APK dosyalarını barındırmak ve yaymak için kimlik avı web siteleri ve sahte GitHub depoları kullanılarak büyük ölçekte dağıtıldığına inanılmaktadır. GitHub aracılığıyla dağıtılan diğer Android kötü amaçlı yazılım ailelerinden bazıları, tehdit aktörleri arasında daha geniş bir evlat edinmeyi gösteren Ermac ve Brokewell’i içeriyor.
Zimperium, “Hook’un evrimi, bankacılık truva atlarının casus yazılım ve fidye yazılımı taktikleri ile nasıl hızla yakınlaştığını ve tehdit kategorilerini bulanıklaştırdığını gösteriyor.” “Sürekli özellik genişlemesi ve geniş dağıtım ile bu aileler finansal kurumlar, işletmeler ve son kullanıcılar için artan bir risk oluşturmaktadır.”
Anatsa gelişmeye devam ediyor
Açıklama, Zscaler’ın tehditleri, daha önce bildirilen 650’den Almanya ve Güney Kore’de de dahil olmak üzere dünya çapında 831 bankacılık ve kripto para hizmetlerini hedeflemek için odağını genişleten Anatsa Bankacılık Truva atının güncellenmiş bir versiyonunu detaylandırdı.
Söz konusu uygulamalardan birinin bir dosya yöneticisi uygulaması (paket adı: “com.synexa.fileops.fileedge_organizerviewer”), anatsa teslim etmek için bir damlalık görevi gören bulunmuştur. Kötü amaçlı yazılım, uzak Dalvik yürütülebilir (DEX) yüklerinin dinamik kod yüklemesinin Truva Yazısı’nın doğrudan kurulumu ile değiştirilmesinin yanı sıra, çalışma zamanı boyunca dağıtılan DEX yükünü gizlemek için bozuk arşivleri kullanır.
Anatsa ayrıca Android’in erişilebilirlik hizmetleri için izin ister, daha sonra kendisine SMS mesajları göndermesine ve almasına izin veren ek izinler vermenin yanı sıra, overlay pencerelerini görüntülemek için diğer uygulamaların üstüne içerik çizmesine izin verir.
Toplamda, şirket, Google Play Store’da Anatsa, Joker ve Harly gibi çeşitli reklam yazılımı, maskware ve kötü amaçlı yazılım ailelerinden 19 milyondan fazla enstalasyonu oluşturan 77 kötü amaçlı uygulama tespit ettiğini söyledi. Maskware, uygulama mağazalarına meşru uygulamalar veya oyunlar olarak sunulan ancak kötü niyetli içeriği gizlemek için gizleme, dinamik kod yükleme veya gizleme tekniklerini içeren bir uygulama kategorisini ifade eder.
Harly, ilk olarak 2022’de Kaspersky tarafından işaretlenen bir Joker çeşididir. Bu Mart ayı başlarında, insan güvenliği, Harly’yi içeren 95 kötü amaçlı uygulamayı Google Play Store’da barındıran 95 kötü amaçlı uygulamayı ortaya çıkardığını söyledi.
Güvenlik araştırmacısı Himanshu Sharma, “Anatsa, daha iyi tespitten kaçınmak için anti-analiz teknikleriyle gelişmeye ve gelişmeye devam ediyor.” Dedi. “Kötü amaçlı yazılım, Hedef için 150’den fazla yeni finansal başvuru için destek ekledi.”