Sahte NextGen Mparivahan uygulamasının yeni bir varyantı ortaya çıktı ve kullanıcıların kötü amaçlı yazılım dağıtmak için resmi hükümet bildirimlerine yerleştirdiği güvenden yararlandı.
Bu kötü amaçlı yazılım, WhatsApp aracılığıyla meşru trafik ihlali uyarıları yoluyla dağıtılır ve kurbanları resmi uygulama olduğuna inandıkları şeyi kurmaya çeker.
Enfeksiyon vektörü ve aldatıcı taktikler
Kötü amaçlı yazılım, Hindistan’ın Karayolu Taşımacılığı ve Karayolları Bakanlığı tarafından geliştirilen meşru uygulamayı taklit eden “NextGen Mparivahan” kisvesi altında yayılıyor.
.png
)
Siber suçlular, bu kötü amaçlı yazılımları, gerçek uygulamanın yeniden markalaşmasına denk gelecek şekilde yeniden markaladılar ve mesajlarının güvenilir görünmesi için araç kaydı ayrıntıları ve bilet numaraları içeren sahte trafik ihlali bildirimleri gönderdi.
Kurulduktan sonra, bu kötü amaçlı uygulama kapsamlı izinler talep eder, simgesini kamufle eder ve SMS mesajları da dahil olmak üzere hassas verileri saldırganlar tarafından yönetilen bir komut ve kontrol (C2) sunucusuna ekspiltratlamaya başlar.
Teknik analiz ve anti-analiz teknikleri
Rapora göre, bu varyant tespitten kaçınmak için birkaç sofistike teknik kullanıyor:
- Yataksız çok aşamalı damlalık yük mimarisi: “E_CHALLAN_REPORT” adı verilen damlalık uygulaması, APK yapısında desteklenmemiş bir sıkıştırma yöntemi kullanarak Apktool, JADX, Androguard, Bytecod Viewer ve hatta 7ZIP gibi geleneksel analiz araçlarını atlamak için tasarlanmıştır. Bu strateji, kötü amaçlı yazılımların Android 9 ve üstüne başarılı bir şekilde yükleyebilmesini sağlar, burada daha yeni ayrıştırma yöntemleri daha önceki Android sürümlerinde görülen belirgin yolsuzluk hatalarını göz ardı eder.
- Daha kapsamlı C2 ekstraksiyonu: Daha gelişmiş bir örnek, C2 sunucu URL’sini çalışma zamanında dinamik olarak oluşturur ve kolayca algılanabilecek statik depolama alanından kaçınır. Bu yöntem, kötü amaçlı yazılım kaçakçılığı tekniklerinde artan karmaşıklığı sergileyen C2 sunucu adresini oluşturmak için yerel bir kütüphane “Libbunnycoban.so” yüklemeyi içerir.
Kötü amaçlı yazılım sadece SMS mesajlarını çalmakla kalmaz, aynı zamanda WhatsApp, Sosyal Medya ve e-ticaret platformları da dahil olmak üzere bir dizi uygulamadan bildirimleri hedefler.
İşlevsellikteki bu genişleme, tehdit düzeyinde önemli bir sıçrama anlamına gelir ve birden fazla cephede kullanıcı gizliliğinden ödün verir.
Uzlaşma Göstergeleri (IOCS)
Bu kötü amaçlı yazılım için anahtar IOC’ler şunları içerir:
- URL’ler: HTTPS[:]// CyberDefensetech[.]CC/
Kullanıcılara, özellikle Google Play Store dışındaki kaynaklardan indirdikleri uygulamalar konusunda uyanık olmaları ve izin verileri akıllıca vermeleri tavsiye edilir.
Android için Quick Heal mobil güvenliği gibi güvenilir antivirüs çözümleri kullanmak, bu tür tehditleri etkili bir şekilde algılayabilir ve hafifletebilir.
Bu gizli Android kötü amaçlı yazılım döneminde dijital olarak güvenli kalmak, gayret ve siber güvenlik için proaktif bir yaklaşım gerektirir.
Her zaman uygulama geliştiricilerinden resmi güncellemeleri doğrudan güvenilir kanallar aracılığıyla kontrol edin ve istenmeyen mesajlardan uygulama indirmelerini yönlendiren bildirimlere son derece şüpheci olun.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!