Büyük miktarlarda veri aktarımı için performans iyileştirmeleri içeren yeni tespit edilen bir Android Truva Atı, sahte uygulama mağazaları aracılığıyla kullanıcı cihazlarına bulaşıyor ve operatörlerin, banka sahtekarlığı yapmak üzere cihazların kontrolünü ele geçirmesine olanak tanıyor.
Trend Micro araştırmacıları 29 Ağustos tarihli bir blog gönderisinde, paket adı nedeniyle MMRat olarak adlandırılan Truva Atı’nın Haziran sonundan bu yana Güneydoğu Asya’daki mobil kullanıcıları hedef aldığını ortaya çıkardı. MMRat genellikle sahte ama ikna edici bir şekilde resmi bir hükümet veya flört uygulaması kılığına giriyor. uygulama mağazasına bakıyor, indirip başlattıktan sonra kurbanlara kimlik bilgilerine ve kişisel verilere erişmeleri için bir kimlik avı web sitesi sunuyor.
Olarak yüklenen kötü amaçlı yazılım com.mm.user, kullanıcı girişini ve ekran içeriğini yakalayabilir ve ayrıca saldırganların kurban cihazlarını çeşitli tekniklerle uzaktan kontrol etmesine olanak tanır. Sonuçta RAT’ın amacı, kimlik bilgilerini ve kişisel verilerini kullanarak kullanıcının banka hesaplarından hırsızlık yapmaktır.
Araştırmacılar, MMRat’ın aynı zamanda protokol arabelleklerine (Protobuf olarak da bilinir) dayanan özel bir özelleştirilmiş komuta ve kontrol (C2) protokolü kullanan nadir bir performans iyileştirmesine sahip olduğunu belirtti.
Gönderiye göre “Android bankacılık Truva atlarında nadiren görülen bu özellik, büyük miktarda verinin aktarımı sırasında performansını artırıyor.”
App Store mu, Siber Suç mu?
Araştırmacıların analiz ettiği MMRat örneklerinin çoğu, hedeflenen kullanıcı tabanına bağlı olarak çeşitli dillerdeki resmi uygulama mağazaları gibi görünen bir dizi benzer görünümlü kimlik avı web sitelerinden geliyordu. Ancak araştırmacılar, saldırganların kimlik avı bağlantılarını kurban cihazlarına tam olarak nasıl dağıttıkları konusunda net olmadıklarını belirtti.
MMRat kurulduktan sonra kullanıcılardan izinler ister ve bu izinler verildikten sonra cihazdaki önemli verilere ve işlevlere erişmesine izin verir. Bunu yaptıktan sonra, cihaz durumu, kişisel veriler ve tuş günlüğü verileri gibi cihaz hakkındaki verileri uzak sunucuya geri göndermeye başlar.
Bu ilk faaliyetlerden biri, kurbanın iletişim bilgilerini ve yüklü uygulama listesini toplama amacıyla hedeflemektir; bu, muhtemelen saldırganların kurbanın belirli bir profile uyduğundan emin olmak için kişisel bilgileri ortaya çıkarmasını sağlar.
Trend Micro’ya göre “Örneğin, kurbanın belirli coğrafi kriterleri karşılayan veya belirli bir uygulamanın yüklü olduğu kişileri olabilir.” “Bu bilgiler daha sonra başka kötü niyetli faaliyetler için kullanılabilir.”
Truva Atı, düzgün bir şekilde çalışabilmek için ağırlıklı olarak iki Android özelliğine güveniyor: uzaktan kumanda için saldırgan tarafından kontrol edilen bir sunucuyla bağlantı kurmak için Android Erişilebilirlik hizmeti ve MediaProjection API. Temel yetenekler arasında kullanıcı girişini ve ekran içeriğini yakalamanın yanı sıra kurbanların cihazlarını uzaktan kontrol etmek de yer alıyor.
MMRat’ın ek bir özelliği, tehdit aktörünün, kullanılmadığında cihazı uzaktan uyandırmasına, ekranın kilidini açmasına ve kurbanın kimlik bilgilerini kullanarak banka dolandırıcılığı yapmasına olanak tanıyor. Gönderiye göre “Eş zamanlı olarak tehdit aktörü, cihaz ekranının sunucu tarafında görselleştirilmesi için ekran yakalamayı da başlatabilir.”
MMRat, çalışır duruma geldikten sonra kendini silerek kötü amaçlı yazılımın tüm izlerini sistemden siler.
Aldanmayın
Android hedefli bankacılık Truva Atları ve diğer kötü amaçlı yazılımlar, mobil platformda kalıcı bir sorun olmaya devam ediyor ve risklerin aşılmasını önlemek için kullanıcıların biraz dikkatli olmasını gerektiriyor.
Üstelik araştırmacılar, MMRat’ın, kendisinden önceki diğer Android kötü amaçlı yazılımları GigabudRat ve Vultur gibi, tespit edilmesini zorlaştıran kaçınma taktiklerine sahip olduğunu, Truva atının radarın altında uçtuğunu ve blogun yayınlandığı tarihte şu ana kadar VirusTotal’da hiçbir tespit yapılmadığını belirtti.
MMRat’ın resmi uygulama mağazası gibi görünen kimlik avı web siteleri aracılığıyla dağıtıldığını dikkate alan Trend Micro, kullanıcıların yalnızca Google Play Store veya Apple App Store gibi resmi kaynaklardan uygulama indirmelerini öneriyor.
Android kullanıcılarının ayrıca MMRat gibi yeni tehditlere karşı koruma sağlayan güvenlik geliştirmelerini yüklemek için cihaz yazılımını düzenli olarak güncellemeleri gerekir. Ayrıca MMRat, kötü niyetli faaliyetlerini gerçekleştirmek için Android’in Erişilebilirlik hizmetinden yararlandığından, yükledikleri herhangi bir uygulamaya erişilebilirlik izinleri verme konusunda da dikkatli olmaları gerekir.
MMRat gibi kötü amaçlı yazılımlar bu verileri banka sahtekarlığı yapmak için kullanmak üzere tasarlandığından, herhangi bir mobil cihaz kullanıcısı kişisel bilgilerini ve banka bilgilerini çevrimiçi olarak veya cihazındaki herhangi bir uygulamayla ifşa ederken dikkatli olmalıdır.
Son olarak, bir Android cihaza saygın bir güvenlik çözümü yüklemek, tehditlerin zarar vermeden önce tespit edilmesine ve ortadan kaldırılmasına da yardımcı olabilir.