Siber güvenlik araştırmacıları Playpraetor Bu, öncelikle Portekiz, İspanya, Fransa, Fas, Peru ve Hong Kong arasında 11.000’den fazla cihazı bulaştı.
“Botnet’in şu anda haftada 2.000 yeni enfeksiyonu aşan hızlı büyümesi, İspanyol ve Fransızca konuşmacılara odaklanan agresif kampanyalar tarafından yönlendiriliyor ve önceki ortak kurban tabanından stratejik bir değişim gösteriyor.”
Bir Çin komut ve kontrol (C2) paneli tarafından yönetilen PlayPraetor, diğer Android Truva atlarından önemli ölçüde sapıyor, çünkü mağdur hesaplarını ele geçirmek amacıyla yaklaşık 200 bankacılık uygulaması ve kripto para cüzdanlarının üstünde sahte bindirme giriş ekranlarına hizmet verebilir.
PlayPraetor ilk olarak Mart 2025’te CTM360 tarafından belgelendi, operasyonun bankacılık kimlik bilgilerini hasat edebilen, pano etkinliğini izleyebilen ve günlük kestroklarını izleyebilen büyük ölçekli bir dolandırıcılık kampanyası yapmak için binlerce hileli Google Play Store indirme sayfalarını kullanmasını detaylandırdı.
Bahreyn merkezli şirket, “Kişimsiz oyun mağazası sayfalarına bağlantılar, geniş bir kitleye etkili bir şekilde ulaşmak için meta reklamlar ve SMS mesajları aracılığıyla dağıtılıyor.” “Bu aldatıcı reklamlar ve mesajlar, kullanıcıları bağlantılara tıklamaları için kandırarak onları kötü niyetli APS’yi barındıran hileli alanlara götürüyor.”
Küresel olarak koordine edilmiş bir operasyon olduğu değerlendirilen PlayPraetor, aldatıcı ilerici web uygulamaları (PWAS), WebView tabanlı uygulamalar (PhISHS), kalıcı ve C2 (phantom) için kullanan beş farklı varyantta gelir, kod tabanlı phishish ve hile kullanıcılarını, çırpma ürünleri (perypy) satın almaya ve tam uzaktan kumanda vidalasına girmeye ve hile kullanıcılarını kolaylaştırır.
İtalyan sahtekarlığı önleme şirketine göre PlayPraetor’un fantom varyantı, Botnet’in yaklaşık% 60’ını (kabaca 4.500 uzlaştırılmış cihaz) kontrol eden ve çabalarını Portugues konuşan hedefler etrafında merkezlediği gibi görünmektedir.
Cleafy, “Temel işlevi, tehlikeye atılan bir cihaz üzerinde kapsamlı, gerçek zamanlı kontrol elde etmek için Android’in erişilebilirlik hizmetlerini kötüye kullanmaya dayanıyor.” Dedi. “Bu, bir operatörün doğrudan kurbanın cihazında hileli eylemler yapmasını sağlar.”
 |
| Görüntü Kaynağı: CTM360 |
Kurulduktan sonra, kötü amaçlı yazılım HTTP/HTTPS aracılığıyla C2 sunucusuna işaret eder ve komutları vermek için çift yönlü bir kanal oluşturmak için bir WebSocket bağlantısını kullanır. Ayrıca, enfekte olmuş cihazın ekranının bir video canlı yayınını başlatmak için gerçek zamanlı bir mesajlaşma protokolü (RTMP) bağlantısı oluşturur.
Desteklenen komutların gelişen doğası, PlayPraetor’un operatörleri tarafından aktif olarak geliştirildiğini ve kapsamlı veri hırsızlığına izin verdiğini gösterir. Son haftalarda, kötü amaçlı yazılımları dağıtan saldırılar, İspanyol ve Arapça konuşan kurbanları giderek daha fazla hedef aldı ve hizmet olarak kötü amaçlı yazılım (MAAS) teklifinin daha geniş bir şekilde genişlemesini işaret etti.
C2 paneli, kendi adına sadece uzlaşmış cihazlarla aktif olarak etkileşim kurmakla kalmaz, aynı zamanda hem masaüstü hem de mobil cihazlarda Google Play Store’u taklit eden ısmarlama kötü amaçlı yazılım dağıtım sayfalarının oluşturulmasını sağlar.
Cleafy, “Kampanyanın başarısı, çok verimli bir MAAS modelinden yararlanan iyi kurulmuş bir operasyonel metodoloji üzerine inşa edildi.” Dedi. “Bu yapı geniş ve yüksek hedefli kampanyalara izin veriyor.”
PlayPraetor, geçtiğimiz yıl Toxicpanda ve Supercard X’in ortaya çıkmasıyla örneklenen bir eğilim olan finansal sahtekarlık yapmak amacıyla Çince konuşan tehdit aktörlerinden kaynaklanan en son kötü amaçlı yazılımdır.
Toxicpanda gelişiyor
Bitsight’ın verilerine göre, Toxicpanda Portekiz’de yaklaşık 3.000 Android cihazından ödün verdi ve bunu İspanya, Yunanistan, Fas ve Peru izledi. Kötü amaçlı yazılımları dağıtan kampanyalar, ClickFix ve Fake Google Chrome Update cazibesini kullanarak kötü amaçlı yazılım dağıtımı için bir trafik dağıtım sistemi (TDS) olan TAG-1241’den yararlandı.
Güvenlik araştırmacısı Pedro Falé geçen hafta bir raporda, “Bu özenle düzenlenmiş yeniden yönlendirme, TDS’nin sadece seçilen hedeflerin bu kötü niyetli uç noktalara yönlendirilmesini sağlamak için tasarımının bir parçası.” Dedi.
Toxicpanda’nın en son sürümü, C2’yi oluşturmak ve altyapı yayından kaldırma karşısında operasyonel esnekliği arttırmak için bir alan üretimi algoritması (DGA) dahil ederek selefleri üzerinde gelişir. Ayrıca kötü amaçlı yazılımlara pişirilmiş bir geri dönüş C2 alanı ayarlamak ve kötü niyetli kaplamaları daha iyi kontrol etmek için yeni komutlar vardır.
Çift yükselir
Bulgular, Zimperium’un, cihaz ekranını kaydetmek, tuş vuruşlarını kaydetmek ve veri söndürme ve yerleşik cihaz kontrolü için çeşitli komutları çalıştırmak için kaplama saldırılarının ötesinde gelişen başka bir sofistike Android Bankacılık Truva Dublouble olarak açıklandığı gibi geliyor.
DoubleTrouble’ın dağıtım stratejisi, hileli faaliyetlerini gerçekleştirmek için Android’in erişilebilirlik hizmetlerini kötüye kullanmaya büyük ölçüde yaslanmanın yanı sıra, kötü amaçlı yazılım örneklerini doğrudan anlaşmazlık kanallarında barındıran sahte web sitelerinden yararlanmayı içerir.
Zimperium ZLABS araştırmacısı Vishnu Madhav, “Yeni işlevler şunlardır: Pin kodlarını çalmak veya kilidini açmak için kötü amaçlı kullanıcı arayüzlerinin görüntülenmesi, kapsamlı ekran kayıt özellikleri, belirli uygulamaların açılmasını engelleme yeteneği ve gelişmiş anahtarlama işlevselliği” dedi.