Saldırganlar, kamu sektörü ve özel bankaların arayüzlerini ve ikonlarını taklit eden sahte Android uygulamalarını dolaşarak Hindistan’ın mobil bankacılık için iştahını silahlandırıyor.
3 Nisan 2025 tarihinde telemetri kütüklerinde yüzeye çıkma, sahtekarlar dozlama metinleri, QR kodları ve arama motoru zehirlenmesi yoluyla seyahat ederek kullanıcıları paketlerin yan yüklenmesi için kandırıyor.
İlk yürütme penceresi sırasında, hafif bir damlalık, Android’in yükleyicisini sahte bir güncelleme iletişim kutusu aracılığıyla istemeden önce gerçek yükünü harici depolamaya yazır.
Cyfirma analistleri, 7.000’den fazla cihazın keşiften sonraki 48 saat içinde aynı Firebase Bulut Mesajlaşma (FCM) uç noktasıyla iletişim kurmaya çalıştığını ve kampanyanın erişimini vurguladığını belirtti.
İzin kötüye kullanımı planın merkezindedir. Request_install_packages bypass Play Protect, Read_SMS OTP’leri yakalar ve Query_all_Packages Truva atı, yüklü uygulamaların panoramik bir görünümünü verir ve bindirme saldırıları için zemin hazırlar.
.webp)
Bu yükleyici, anında özel bir Firbase RealTime veritabanına yüklenen telefon numaralarını, 4 haneli mpinleri ve 3 haneli CVV’leri toplayan aldatıcı kullanıcı arayüzünü gösterir.
Kimlik bilgileri güvence altına alındıktan sonra, kötü amaçlı yazılım, USSD dizesini vererek ses doğrulamasını sessizce yönlendirir *21SaldırıNimber#, koşulsuz çağrı yönlendirmeyi etkinleştirme.
Kalıcılık, boot_completed bir alıcı ve request_ignore_battery_optimizations bayrağı aracılığıyla elde edilir ve işlemin hem yeniden başlatmalarda hem de agresif güç yönetimi rutinlerinden kurtulmasına izin verir.
Güvenlik ekipleri, bu tür taktiklerin birkaç dakika içinde tam hesap devralmasını kolaylaştırabileceği konusunda uyarıyor.
Enfeksiyon mekanizması
Droper, ikincil APK, App-Release.apk’ı varlıklar dizinine gizler ve FileProvider aracılığıyla sessizce yükler.
Çekirdek mantık birkaç satır Kotlin’e uyuyor:-
val apk = File(filesDir, "app-release.apk")
assets.open("app-release.apk").copyTo(apk.outputStream())
val uri = FileProvider.getUriForFile(this, "$packageName.provider", apk)
startActivity(Intent(Intent.ACTION_VIEW).apply{
setDataAndType(uri,"application/vnd.android.package-archive")
addFlags(Intent.FLAG_GRANT_READ_URI_PERMISSION); putExtra("INSTALL_NOW", true)
})Install_now kullanıcı gözetimi olmadan yürütülürse, PackageInStaller gelir ve yeni yük, yalnızca bir bilgi kategorisi etkinliği bildirerek kendisini maskeler – başlatıcı simgesi görünmez.
Önyüklemede, Autostarthelper hizmetleri yeniden değerlendirirken, bir abonelik oluşturucu, haritalar aktif SIM yuvalarını sayılarla çağırır ve yakalanan her SMS’nin FCM aracılığıyla JSON eksfiltrasyonundan önce doğru gönderenle etiketlenmesini sağlar.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi