Yer paylaşımı saldırıları, Android gibi mobil cihazlardaki yasal uygulamaların üzerine zorlu bir katman yerleştirmeyi içerir. Bu kötü amaçlı katman, güvenilir uygulamaların arayüzünü taklit ederek kullanıcıları hassas bilgileri girmeleri için kandırabilir.
NetCraft’taki güvenlik analistleri kısa süre önce HookBot kötü amaçlı yazılımının verileri çalmak amacıyla popüler markaların kimliğine bürünmek için katman saldırıları kullandığını keşfetti.
HookBot, kurbanlardan “bankacılık kimlik bilgileri”, “şifreler” ve “kişisel veriler” gibi hassas bilgileri çalmayı amaçlayan bir bankacılık Truva atıdır.
“Resmi olmayan uygulama mağazalarında” bulunan, markanın sahip olduğu meşru yazılımları taklit eden kötü amaçlı uygulamalar yoluyla yayılır.
Strategies to Defend Websites & APIs from Malware Attack -> Free Webinar
HookBot Kötü Amaçlı Yazılımı Veri Çalıyor
Sadece bu değil, aynı zamanda “Google Play” gibi resmi pazarlardaki güvenlik kontrollerinden de kaçma yeteneğine sahip.
“HookBot bulaşmış uygulama” yüklendikten sonra, kullanıcı verilerini çıkarmak için çeşitli saldırı tekniklerini kullanmadan önce “güncellemeleri almasına”, “yeni yükler” almasına ve “cihaz bilgilerini toplamasına” olanak tanıyan bir “C2” sunucusuyla iletişim kurar.
.webp)
Temel olarak, kullanıcıyı hassas bilgilerini girerek “keylogging”, “ekran yakalama” ve “SMS müdahalesi” yoluyla verilerini çalmaya kandırmak için “meşru bir uygulamanın” arayüzünü taklit eden görsel bir katman oluşturan kaplama saldırılarını kullanır. NetCraft raporuna göre kurbanın hesaplarına erişim sağlanıyor.
HookBot’un bulaştığı uygulamalar, tespitten kaçınmak için genellikle diğer meşru uygulamalar gibi “yeniden adlandırma” ve “kendini gizleme” yeteneğine sahip kötü amaçlı yazılımla tanınmış markaların kimliğine bürünür ve tehdit aktörlerinin minimum düzeyde teknik bilgiye sahip olmasını sağlayan bir “oluşturucu aracı” içerir.
Bu, “yeni kötü amaçlı yazılım örnekleri” oluşturmasına ve “onları güvenlik önlemlerinden kaçacak şekilde uyarlamasına” olanak tanır.
Kötü amaçlı yazılım tedarik zincirinde araştırmacılar, “HookBot”un “Telegram” gibi platformlar aracılığıyla dağıtımını gözlemledi; burada tehdit aktörleri farklı “satın alma seçenekleri” sunuyor ve kampanyalarının tespit edilmesini önlemeye yardımcı olmak için “yerleşik anti-güvenlik işleviyle övünüyor” .
.webp)
Etkilenen uygulamalar, uygulama güncellemeleri gerektirmeden C2 sunucusundaki kaplamaları hızlı bir şekilde güncellemek için HTML’den yararlanır.
C2 sunucusu, “gönderme” işlevini otomatikleştirmek için Android’in erişilebilirlik izinlerinden yararlanarak, kurbanın cihazını, çeşitli tehdit aktörlerinin tercihlerine otomatik olarak “WhatsApp mesajları” göndermek üzere kötüye kullanıyor.
Bu solucan benzeri davranış, kötü amaçlı yazılımın cihazlar arasında kendi kendine yayılmasını sağlar.
“HookBot” operatörleri tarafından farklı satın alma seçenekleri sunulmaktadır: –
.webp)
Üstelik kötü amaçlı yazılım geliştiricileri, “analiz” ve “tespit çabalarını” engelleyerek kodlarının tersine mühendislik yapılmasını zorlaştırmak için “Obfuscapk” gibi gizleme araçlarını kullanıyor.
Bu gizleme teknikleri meşru uygulamaları da koruyabilirken, yasa dışı olarak kullanıldığında kötü amaçlı yazılım yazarlarının kötü niyetli amaçlarını gizlemelerine ve daha etkili bir şekilde çoğalmalarına olanak tanır.
Farkındalık ve engelleme çabalarına rağmen, bu HookBot kötü amaçlı yazılımı gelişmeye devam ediyor ve bu da onun “esnekliğini” ve “etkililiğini” gösteriyor.
Çok kanallı tedarik zinciri, küresel olarak yayılmasını ve daha fazla kuruluşu ve onların müşterilerini etkilemesini sağlar.
Bunun yanı sıra, düşük vasıflı tehdit aktörlerinin bu tür kötü amaçlı yazılımları oluşturmasına ve dağıtmasına olanak tanıyan araçların varlığı, bu eğilimi yalnızca artıracaktır.
Belirli markaları hedef alan kötü amaçlı etkinlikleri hızla tespit edip engelleyebilecek güçlü güvenlik çözümlerine olan ihtiyacı gösteriyor.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!