İran bankalarını hedef alan bir Android kötü amaçlı yazılım kampanyası, yeteneklerini genişletti ve radarın altından geçmek için ek kaçınma taktikleri ekledi.
Bu, kötü niyetli operasyonla ilişkili 200’den fazla kötü amaçlı uygulamayı keşfeden Zimperium’un yeni bir raporuna göre, tehdit aktörünün hedeflenen finansal kuruluşlara yönelik kimlik avı saldırıları gerçekleştirdiğini de gözlemledi.
Kampanya ilk olarak Temmuz 2023’ün sonlarında Sophos’un Bank Mellat, Bank Saderat, Resalat Bank ve İran Merkez Bankası müşterilerini hedef alan 40 kimlik bilgisi toplama uygulamasından oluşan bir kümeyi ayrıntılarıyla açıklamasıyla ortaya çıktı.
Sahte uygulamaların temel amacı, Android’in erişilebilirlik hizmetlerini kötüye kullanarak kurbanları kandırarak onlara kapsamlı izinler vermelerini sağlamak ve bankacılık oturum açma bilgilerini ve kredi kartı bilgilerini toplamaktır.
Sophos araştırmacısı Pankaj Kohli o dönemde “Kötü amaçlı uygulamaların ilgili meşru sürümleri İran’ın Android pazarı olan Cafe Bazaar’da mevcut ve milyonlarca indirilmeye sahip” dedi.
“Öte yandan, kötü amaçlı taklitler, çok sayıda nispeten yeni alan adından indirilebiliyordu; bunlardan bazıları tehdit aktörleri tarafından C2 sunucusu olarak da kullanılıyordu.”
İlginç bir şekilde, bu alan adlarından bazılarının, mobil kullanıcıların kimlik bilgilerini çalmak üzere tasarlanmış HTML kimlik avı sayfaları da sunduğu gözlemlendi.
Zimperium’un en son bulguları, tehdidin sadece daha geniş bir dizi hedefli banka ve kripto para cüzdanı uygulaması açısından değil, aynı zamanda onu daha güçlü kılan daha önce belgelenmemiş özelliklerin de dahil edilmesi açısından devam eden evrimini gösteriyor.
Bu, erişilebilirlik hizmetinin, SMS mesajlarına müdahale etmek, kaldırmayı önlemek ve kullanıcı arayüzü öğelerine tıklamak için ek izinler vermek amacıyla kullanılmasını içerir.
Kötü amaçlı yazılımın bazı varyantlarının, komut ve kontrol (C2) sunucusunun Base64 kodlu sürümünü ve kimlik avı URL’lerini çıkarmak için GitHub depolarındaki README dosyasına eriştiği de tespit edildi.
Zimperium araştırmacıları Aazim Yaswant ve Vishnu Pratapagiri, “Bu, saldırganların GitHub deposunu güncelleyerek, kapatılan kimlik avı sitelerine hızlı bir şekilde yanıt vermelerine olanak tanıyarak, kötü amaçlı uygulamaların her zaman en yeni etkin kimlik avı sitesini almasını sağlar.” dedi.
Dikkate değer bir diğer taktik, kimlik avı sitelerine işaret eden kodlanmış dizeleri içeren metin dosyalarını barındırmak için ara C2 sunucularının kullanılmasıdır.
Kampanya şu ana kadar gözünü Android’e çevirmiş olsa da, kimlik avı sitelerinin sayfanın bir iOS cihazı tarafından açılıp açılmadığını doğrulaması ve eğer öyleyse, sayfayı yönlendirmesi gerçeğine dayanarak Apple’ın iOS işletim sisteminin de potansiyel bir hedef olduğuna dair kanıtlar var. Bank Saderat Iran uygulamasının iOS versiyonunu taklit eden bir web sitesinin kurbanı.
Şu anda iOS kampanyasının geliştirme aşamasında olup olmadığı veya uygulamaların henüz tanımlanamayan bir kaynak üzerinden mi dağıtıldığı belli değil.
Kimlik avı kampanyaları da daha az karmaşık değil; kimlik bilgilerini, hesap numaralarını, cihaz modellerini ve IP adreslerini aktörlerin kontrolündeki iki Telegram kanalına sızdırmak için gerçek web sitelerini taklit ediyor.
Araştırmacılar, “Modern kötü amaçlı yazılımların daha karmaşık hale geldiği ve hedeflerin genişlediği açık; bu nedenle çalışma zamanı görünürlüğü ve koruması, mobil uygulamalar için hayati önem taşıyor” dedi.
Geliştirme, Fingerprint’in, belirli bir uygulama pano verilerini okurken görüntülenen bildirimi gizlemek için SYSTEM_ALERT_WINDOW iznini kullanarak, kötü amaçlı Android uygulamalarının pano verilerine gizlice erişip bunları kopyalayabildiği bir yöntemi göstermesinden bir aydan biraz daha uzun bir süre sonra gerçekleşti.
Fingerprint, “Farklı bir tostla veya başka bir görünümle bir tostu fazla çizmek mümkündür; orijinal tostu tamamen gizlemek, kullanıcının pano eylemlerinden haberdar olmasını engelleyebilir” dedi. “SYSTEM_ALERT_WINDOW iznine sahip herhangi bir uygulama, kullanıcıya bildirimde bulunmadan pano verilerini okuyabilir.”