Android botnet’in geliştiricisi, Nexus’u Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) aboneliği aracılığıyla ayda 3000 ABD Doları karşılığında dağıtıyor.
Cleafy güvenlik araştırmacıları tarafından yakın zamanda yapılan ayrıntılı bir teknik analiz, kullanıcıları Ocak 2023’te çeşitli yer altı bilgisayar korsanlığı forumlarında bir kişi tarafından tanıtılan Nexus adlı yeni bir Android bankacılık botnet’i hakkında uyarıyor.
Kötü amaçlı yazılım geliştiricisi, Nexus’un tamamen sıfırdan kodlandığını ve Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) aboneliği aracılığıyla ayda 3000 ABD Doları karşılığında kiralanabileceğini iddia etti.
MaaS, siber suçlular tarafından kötü amaçlı yazılımlarını diğer taraflara, özellikle de kendi kötü amaçlı yazılımlarını geliştirmek için teknik bilgiye sahip olmayanlara kiralamak veya satmak için kullanılan bir iş modelidir. Kötü amaçlı yazılım yazarları daha geniş bir kitleye ulaşmak için MaaS platformlarından yararlandığından, bu model Android bankacılık truva atlarının dağıtımında yaygın olarak kullanılmaktadır.
Nexus, öncelikle Android cihazlarda yüklü bankacılık uygulamalarını hedefleyen bir bankacılık Truva Atı’dır. Nexus, dünyanın her yerinden bankacılık uygulamalarına ve kripto para birimi hizmetlerine karşı Hesap Devralma saldırıları (ATO) gerçekleştirmek için tüm ana özellikleri içerir.
İki faktörlü kimlik doğrulama kodları elde etmek için bindirme saldırıları, keylogging etkinlikleri gerçekleştirebilir ve SMS mesajlarını çalabilir. Erişilebilirlik Hizmetlerinin kötüye kullanılması yoluyla Nexus, kripto cüzdanlarından, Google Authenticator uygulamasının 2FA kodlarından ve belirli web sitelerinden çerezlerden bazı bilgiler çalabilir.
Nexus ayrıca otonom güncelleme için bir mekanizma ile donatılmıştır. Kötü amaçlı yazılım çalışırken güncellemeleri C2 sunucusunda eşzamansız olarak kontrol eder. C2’den geri gönderilen değer, cihazda yüklü olan değerle uyuşmuyorsa, kötü amaçlı yazılım güncelleme işlemini başlatır. Aksi halde değeri yok sayar ve tüm rutin faaliyetlerine devam eder.
Kötü amaçlı yazılım, saldırganların kötü amaçlı yazılımı ihtiyaçlarına göre özelleştirmesine ve dağıtmasına olanak tanıyan “Nexus Botnet” adlı bir MaaS platformu aracılığıyla dağıtılır. Platform, güvenlik araştırmacılarının tehdidi algılamasını ve azaltmasını zorlaştıran kontrol paneli erişimi, otomatik güncelleme ve anti-analiz teknikleri gibi çeşitli özellikler sunar.
Yazarları, kaynak kodunun tamamen sıfırdan yazıldığını iddia etse de, 2021’in ortalarında ortaya çıkan bir Android bankacılık truva atı olan SOVA ile bazı kod benzerlikleri, dahili bileşenlerinin bazı kısımlarını yeniden kullanmış olabileceklerini gösteriyor.
“Sovenok” takma adı altında faaliyet gösteren SOVA yazarı, daha önce SOVA’yı kiralayan bir bağlı kuruluşa projenin tüm kaynak kodunu çaldığı için seslendi. Bu olay, SOVA kaynak kodunun bazı bölümlerinin neden birden fazla bankacılık truva atından geçtiğini açıklayabilir.
Nexus ayrıca fidye yazılımlarına işaret eden şifreleme yetenekleriyle donatılmış bir modül içerir. Ancak şirket, hata ayıklama dizelerinin varlığı ve yararlı referansların olmaması nedeniyle modülün geliştirilmekte göründüğünü açıkladı.
“Bu yazı yazıldığı sırada, bir VNC modülünün olmaması, onun hareket aralığını ve yeteneklerini sınırlıyor; ancak birden fazla C2 panelinden elde edilen enfeksiyon oranına göre Nexus, dünya çapında yüzlerce cihaza bulaşma kapasitesine sahip gerçek bir tehdittir. Bu nedenle, önümüzdeki birkaç ay içinde sahneye çıkmaya hazır olacağını göz ardı edemeyiz” dedi.
ALAKALI HABERLER
- ‘Geost’ bankacılık botnet’i Android cihazları vuruyor
- Yeni Matryosh DDoS botnet’i Android cihazları vurur
- Cryptomining botnet kötü amaçlı yazılımı Android cihazları vuruyor
- Sockbot Kötü Amaçlı Yazılımı, Android Cihazları Botnet’e Dönüştürüyor
- Viking Horde kötü amaçlı yazılımı Android telefonları botnet’e dönüştürüyor