Araştırmacılar, Brezilya’nın popüler anında ödeme platformu Pix’e erişen ve onu kötüye kullanan “PixBankBot” adlı bir Android bankacılık truva atının izini sürdü.
Android truva atı PixBankBot, ATS çerçevesi üzerine kurulmuştur ve hedeflenen bankacılık uygulamalarındaki, özellikle anında ödeme platformu Pix’teki Kullanıcı Arayüzü (UI) öğelerini belirlemek ve izlemek için Erişilebilirlik Hizmetini kullanır.
Cyble Research & Intelligence Labs (CRIL) araştırmacıları, bunu yaparak, PixBankBot’un hileli işlemler gerçekleştirebildiğini ve hesap bakiyeleri ve para transferi ayrıntıları dahil olmak üzere hassas bilgileri yakalayabildiğini buldu.
“Banco Central do Brasil tarafından sağlanan etkileyici bir istatistik, Nisan 2023 itibarıyla 138 milyondan fazla kullanıcının Pix kullanarak işlem yaptığını ortaya koyuyor; popülaritesinin artmaya devam ettiği açık,” dedi CRIL raporu.
“Ancak, bu yenilikçi teknoloji kullanıcıları güçlendirirken, Tehdit Aktörlerinin (TA’lar) da dikkatini çekti.”
PixBankBot: Pix ve popülerlik felaketi
Pix, ülkenin para otoritesi olan Brezilya Merkez Bankası (BCB) tarafından geliştirilen ve denetlenen hızlı ve kullanışlı bir anında ödeme platformudur.
Brezilya Merkez Bankası, 2020’de “Pix” marka adını ve logosunu kendi bünyesinde tasarladı ve oluşturdu.
2019 yazında lanse edilen ve 16 Kasım 2020’den beri resmi olarak faaliyete geçen Pix, kullanıcıların çeşitli ödeme ve transfer türlerini hızlı bir şekilde gerçekleştirmelerini sağlıyor.
CRIL araştırma raporu, Pix Anında Ödeme sistemini kullanan Brezilya bankalarının bu amansız düşmanların devam eden saldırısıyla karşı karşıya olduğu konusunda uyardı.
Son altı ayda, Cyble Research & Intelligence Labs (CRIL), özellikle Brezilya bankalarına göre hazırlanmış Android bankacılık truva atlarında bir artışa tanık oldu.
Son zamanlarda tespit edilen vakalar arasında mobil kullanıcıları SMS mesajlarını yakalamak ve kalıcılığı sürdürmek için hedefleyen Chameleon Android bankacılık truva atı ve Peru’dan 40’tan fazla bankacılık uygulamasını hedefleyen ‘Zanubis’ yer alıyor.
Bu truva atları, ülkenin bankacılık sektörü için önemli bir tehdit oluşturan sahte işlemleri gerçekleştirmek için Otomatik Transfer Sistemi (ATS) çerçevesini kullanır.
Son keşifler arasında PixBankBot, özellikle Pix başta olmak üzere Brezilya bankasının çevrimiçi hizmetlerini hedefleyen yeni bir varyant olarak ortaya çıktı.
PixBankBot: Nasıl çalışır?
PixBankBot kötü amaçlı yazılımı, kurbanları kötü amaçlı yazılımı yüklemeleri için kandırmak için gerçek bir PDF uygulamasının simgesini ve adını kullanarak bir PDF uygulaması kılığına girer.
Kötü amaçlı yazılım yüklendikten sonra, kullanıcılardan Erişilebilirlik Hizmetini etkinleştirmelerini ister ve ardından bunu keylogging ve ATS çerçevesini yürütmek için kötüye kullanır.
Erişilebilirlik Hizmetini etkinleştirdikten sonra kötü amaçlı yazılım, cihaz adı, Android sürümü, IP adresi ve bölge gibi temel cihaz bilgilerini gizlice bir Komuta ve Kontrol (C&C) sunucusuna gönderir.
PixBankBot truva atı, hedeflenen bankacılık uygulamasının paket adını belirlemek için Erişilebilirlik Hizmetini kullanır.
Kurban, sağlanan tabloda listelenen bankacılık uygulamalarından herhangi biriyle etkileşime girerse, kötü amaçlı yazılım keylogging’i başlatır ve ATS’yi yürütmeye başlar.
PixBankBot, faaliyetlerini daha fazla gizlemek için gerçek bir bankacılık uygulamasında sahte bir pencere oluşturarak kurbanın arka planda gerçekleşen kötü niyetli eylemlerden habersiz kalmasını sağlar.
Bu arada, kötü amaçlı yazılım, otomatik fon transferleri gerçekleştirmek için yasal bankacılık uygulamasıyla etkileşime girer.
PixBankBot: Transferlerde para kazanma
Fon transferleri, alıcıların banka hesabı bilgileriyle ilişkili benzersiz tanımlayıcılar olarak hizmet veren Pix anahtarları aracılığıyla kolaylaştırılır. Kötü amaçlı yazılım, Tehdit Aktörlerinin (TA’nın) Pix anahtarını almak için bir Pastebin URL’sine bağlanır.
Hedeflenen her bankacılık uygulaması, base46’da kodlanmış, sistem tarafından oluşturulmuş farklı benzersiz anahtarlar (UUID) alır ve kötü amaçlı yazılımın fon transferlerini gerçekleştirmesini sağlar.
Kötü amaçlı yazılım, getirilen Pix anahtarını eklemek için “chave” (Portekizce “anahtar” anlamına gelir) kelimesini içeren kullanıcı arabirimi öğelerini tarar.
Kötü amaçlı yazılım bulunduğunda, sunucudan alınan ilgili metin düzenleme alanına Pix anahtarını ekler.
Raporda gösterilen özel kod, ITAU bankası için tasarlanmıştır, ancak kötü amaçlı yazılım, diğer hedeflenen bankacılık uygulamalarında Pix anahtarıyla ilgili sayfayı bulmak için farklı kullanıcı arabirimi öğelerini tarar.
“Kötü amaçlı yazılım para transferini bitirdiğinde, transfer tutarını ve hedeflenen banka adını C&C sunucusuna gönderir. Daha sonra tespit edilmemek için kendisini virüs bulaşmış cihazdan kaldırır” dedi.
Açıklamada, “PixBot’un arkasındaki TA(lar), bir ATS çerçevesi uygulamak ve kurbanın cihazında hileli işlemler gerçekleştirmek için hedeflenen bankacılık uygulamasının tüm kullanıcı arabirimi öğelerini ustalıkla izledi” denildi.
Ayrıca, tehdit aktörü (TA), belirli durumlarda kötü amaçlı uygulamayı güvenliği ihlal edilmiş cihazdan kaldırmak için ek önlemler almıştır.
Örneğin, hesap bakiyesi 500,00 R$’ın altına düşerse veya bir para transferi başarılı bir şekilde gerçekleştirilirse, tespit edilmekten kaçınmak ve kurbanın şüphelenmesini önlemek için uygulama otomatik olarak kendini siler.