Android kullanıcıları dikkat: DAAM adlı yeni bir Android botnet’i Truva Atı’na (Truva Atı) yüklenmiş uygulamalar aracılığıyla dağıtılıyor.
Bu, yakın zamanda Cyble Research & Intelligence Labs (CRIL) tarafından paylaşılan bir Android botnet’i analiz ettikten sonra keşfedildi. Kötü Amaçlı Yazılım Avcısı Ekibi.
DAAM Android botnet; keylogger, fidye yazılımı, VOIP arama kayıtları, çalışma zamanında kod yürütme, tarayıcı geçmişini toplama, gelen aramaları kaydetme, PII verilerini çalma, kimlik avı URL’lerini açma, fotoğraf yakalama, pano verilerini çalma ve WiFi ve Veri durumunu değiştirme.
DAAM Android botnet’i neden bir tehdittir?
Botnet, kötü niyetli kişilerin bir APK bağlama tekniği kullanarak zararlı kodu gerçek bir uygulamayla birleştirmesine olanak tanıyan bir hizmet sunar.
Kısa bir süre önce CRIL, “184356d900a545a2d545ab96fa6dd7b46f881a1a80ed134db1c65225e8fa902b” karma değerine sahip PsiphonAndroid.s.apk adlı bir APK dosyasını inceledi.
Analiz, bu dosyanın meşru bir Psiphon uygulamasıyla birleştirilmiş kötü amaçlı DAAM botnet kodu içerdiğini ortaya çıkardı.
Analiz sonucunda, kötü amaçlı yazılımın hxxp://192.99.251 adresi aracılığıyla Komuta ve Kontrol (C&C) sunucusuna bağlanmak üzere tasarlandığı keşfedildi.[.]51:3000.
C&C sunucusu, ilk olarak Ağustos 2021’de tespit edilen çok sayıda kötü amaçlı uygulamada tespit edildi. Bu, DAAM Android botnet’in 2021’den beri aktif olduğunu ve Android kullanıcıları için tehdit oluşturmaya devam ettiğini gösteriyor.
DAAM Android botnet’in teknik analizi
CRIL, DAAM Android botnet’inin kapsamlı bir teknik analizini gerçekleştirdi ve örnek bir APK’ye botnet bulaştığını keşfetti.
Kötü amaçlı yazılım, hxxp://192.99.251 adresinde bulunan Komuta ve Kontrol (C&C) sunucusuyla bir soket bağlantısı kurar.[.]51:3000 kötü amaçlı faaliyetler için komutları almak için.
Botnet, kullanıcıların etkinliklerini izlemek, uygulamanın karşılık gelen paket adıyla birlikte tuş vuruşlarını yakalamak ve bunu bir veritabanına kaydetmek için Erişilebilirlik Hizmetini kullanır.
Virüslü cihazdaki dosyaları şifrelemek için AES algoritmasını kullanır ve “readme_now.txt” dosyasında bir fidye notu saklar.
Ayrıca botnet, WhatsApp, Skype, Telegram gibi sosyal medya uygulamalarını ve VOIP aramalarından sorumlu diğerlerini izleyebilir. Kullanıcı bu bileşenlerle etkileşime girerse, kötü amaçlı yazılım ses kaydını başlatır.
Botnet, hedef cihazda kayıtlı yer imlerini ve tarama geçmişini toplayabilir ve bunları C&C sunucusuna gönderebilir.
Ayrıca çalışma zamanında kod yürüterek, PII verilerini çalarak, URL’leri açarak ve ekran görüntüleri ve fotoğraflar çekerek kurbanın cihazını ele geçirebilir.
Çözüm
Bu tür kötü amaçlı yazılımlara karşı korunmak için Android kullanıcıları, uygulamaları indirirken ve kurarken dikkatli olmalıdır.
Yalnızca güvenilir kaynaklardan indirin ve istenen uygulama izinlerinin uygulamanın işlevselliği için gerekli olduğundan emin olun.
Cihazınızı en son güvenlik yamalarıyla güncel tutun ve cihazınızı kötü niyetli saldırılara karşı korumak için saygın bir antivirüs yazılımı kullanın.