Steganografi, tehdit aktörlerinin tespit edilmekten kaçınmak için gizli bilgileri sıradan, gizli olmayan dosyalar veya mesajlar içerisinde gizlemelerine olanak tanır.
Yaygın biçimleri arasında metinlerin resim veya ses dosyalarına gömülmesi yer alır ve sıklıkla güvenliği artırmak için şifreleme ile birlikte kullanılır.
Kaspersky Lab’daki siber güvenlik araştırmacıları, Necro Truva atının 11 milyon Android cihazı hacklemek için steganografi tekniklerini kullandığını keşfetti.
11 Milyon Android Cihaz Hacklendi
“Necro Trojan”, hem “Google Play” hem de “resmi olmayan uygulama” kaynaklarına sızan ve 11 milyondan fazla cihazı etkileyen, gelişmiş, çok aşamalı bir Android kötü amaçlı yazılımıdır.
CISO’larla tanışın, uyumluluğu öğrenmek için Sanal Panele katılın – Ücretsiz Katıl
Bu kötü amaçlı yazılım, “Wuta Camera”, “Max Browser” ve “Spotify’ın değiştirilmiş sürümleri”, “WhatsApp” ve “Minecraft” gibi popüler uygulamaları istismar ediyor.
Araştırmada, Necro’nun “OLLVM” kullanarak karartma, “PNG görüntüleri”nde yükleri gizlemek için steganografi ve esneklik için modüler bir mimari gibi gelişmiş kaçınma teknikleri kullandığı belirtiliyor.
Enfeksiyon süreci, C2 sunucularıyla iletişim kuran bir yükleyiciyle başlar ve bu genellikle “Firebase Remote Config” kullanılarak yapılır.
Eklenti yükleyicisi, her biri kendi kötü amaçlı amacından sorumlu olan düzinelerce eklentiyi indirmek ve çalıştırmaktan sorumludur.
Aşağıda bu kötü niyetli amaçlardan bahsettik:
- Görünmez reklamları görüntüleme
- İsteğe bağlı DEX dosyalarının yürütülmesi
- Uygulamaları yükleme
- Gizli WebView pencerelerinde bağlantıları açma
- JavaScript kodunu çalıştırma
- Ücretli hizmetlere abone olma
Necro’nun eklentileri (‘NProxy’, ‘island’, ‘web’, ‘Happy SDK’, ‘Cube SDK’ ve ‘Tap’) kurban cihazları üzerinden tüneller oluşturmaktan reklam etkileşimlerini değiştirmeye kadar çeşitli görevleri yerine getiriyor.
Kendini güncelleyen mekanizma, kötü amaçlı yazılımın uyarlanabilirliğini gösterir ve yalnızca bununla kalmaz, aynı zamanda güvenlik savunmalarını atlatmaya yardımcı olan süreçler içinde ayrıcalıklı “WebView” örnekleri eklemek için yansımayı kullanır.
Resmi bir uygulama mağazasında bulunan bir uygulamanın izlenmesi önemlidir; bu durum uygulama güvenliği tehditlerinin gelişmesiyle kanıtlanmıştır.
26 Ağustos-15 Eylül tarihleri arasında dünya genelinde “10.000’den fazla Nekro saldırısı” tespit edilirken, bu saldırılarda Rusya, Brezilya ve Vietnam en yüksek enfeksiyon oranlarını yaşadı.
Truva atının modüler mimarisi, yaratıcılarının hedefli güncellemeleri ve yeni kötü amaçlı modülleri esnek bir şekilde sunmasına olanak tanırken, bu tamamen tehlikeye atılan uygulamaya bağlıdır.
Mobil kötü amaçlı yazılımlarda pek sık rastlanmayan bir taktik olması nedeniyle “steganografi” kullanımı özellikle dikkat çekicidir.
Bu tekniklerin birleşimi, mobil tehditlerin giderek karmaşıklaştığını ortaya koyuyor ve enfekte cihazların gerçek sayısının ilk tahmin edilenden önemli ölçüde daha yüksek olduğunu gösteriyor.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial