Araştırmacılar, özellikle meşru Android kullanıcılarını bankacılık bilgilerini ele geçirmek amacıyla hedef alan bir bilgi çalma kampanyasını ortaya çıkardılar. Saldırganlar, bireyleri kandırarak cihazlarına bilgi çalma RAT’ı bulaştıran siteleri ziyaret etmeleri için meşru web sitelerinin çoğaltılmış sürümlerini kullanır.
Cyble Research & Intelligence Labs (CRIL), saldırganların Gigabud olarak bilinen yeni bir tür RAT (uzaktan erişim truva atı) kullanarak Tayland, Peru ve Filipinler’deki kullanıcıları hedef aldığını tespit etti.
Bir kullanıcı kredi aramak için sahte web sitesini ziyaret ettiğinde, bu bilgi çalan RAT ile bağlantılı bir uygulamayı indirmesi istenir. Uygulama, kendisine bilgi çalmasını ve sunucuya geri göndermesini söyleyen bir komut ve kontrol sunucusuna bağlıdır.
Bilgi çalma RAT ve krediler
CRIL, Android’de yalnızca meşru kullanıcıları hedeflemek için bilgi çalan bir RAT kullanan kötü amaçlı bir kampanya keşfetti. Bireyler, Thai Airline – Thai Lion Air gibi orijinal web sitelerinin kopyaları olan virüslü web sitelerini kullanarak kandırılır.
Kredi arayan kullanıcı sahte web sitesine eriştiğinde, trojenleştirilmiş bir uygulamayı indirme talimatları gösterilir. Bu uygulama, bilgileri çalmak ve C&C’ye geri göndermek için uygulamaya talimatlar gönderen komut ve kontrol (C&C) sunucusuna bağlanır.
Araştırmacılar, Gigabud’un Temmuz 2022’den beri Tayland’da kullanıldığını ve o zamandan beri diğer ülkelere yayıldığını buldu. Bununla birlikte, kullanım örneklerinin virüsten koruma yazılımı tarafından tespit edilmeden kaldığını not etmek ilginçtir.
Sahte banka uygulamaları ve bilgi çalma
Kullanıcı, uygulamayı, taklit ettiği bankanın uygulaması gibi web sayfasında belirtildiği gibi indirir.
Bunu takiben, kullanıcılara, cihazdaki diğer verilerle birlikte çalınacak olan cep telefonu numarası ve şifre gibi bilgilerini girmeleri için bir ekran gösterilecektir. Ekran, yanıt kodu 400 gibi bir hata mesajını yansıtır.
Bu aşamada uygulama, girilen cep telefonu numarasının gerçek olup olmadığını kontrol etmek için siber suçlunun talimatlarını uygular.
“Gigabud, hedefleri geçersiz olanlardan filtrelemek için bir sunucu tarafı doğrulama işlemi kullanıyor. Bu adım, diğer ülkelerden olanlar veya güvenlik araştırmacıları gibi geçersiz kurbanların bu kampanyanın bir parçası olmamasını sağlamak için kullanılıyor, ”dedi.
Hedefin adı, kimlik numarası, seçilen banka adı, kart detayları vb. gibi diğer ayrıntılar. Kayıt olduktan sonra kullanıcı, Gigabud tarafından daha fazla bilginin hangi aşamada çalındığını kaydeder. C&C sunucusu ile uygulama arasındaki bağlantıyı kuran OpenService’i kullanır. Kullanıcılar, ek kullanıcı verilerinin girildiği sahte bir kredi sözleşmesiyle kandırılır.
Araştırmacılar, ekranda kullanıcıdan ‘etkinleştirmek için tıklayın’ düğmesine tıklamasını isteyen Gerçek Ad Kimlik Doğrulaması sayfasının gösterilmesiyle bu son aşamada nihai kötü amaçlı etkinliği gözlemledi.
Ekran kaydı, ekran yerleşimi ve diğer uygulamaların üzerinde görünme gibi ek izinler istenir. Uygulama, bu izinleri kullanarak kullanıcının izni olmadan bu etkinlikleri başlatır.
Bu en son Android kötü amaçlı yazılımı, aşağıda gösterildiği gibi WebSocket bağlantısını kullanarak her saniye ekran kayıtları gönderir:
(Kaynak: Cyble)
CRIL tarafından bulunan BANCO De COMERCIO.apk adlı örnek bir uygulamanın teknik analizi
Bank of Commerce’in meta verileri (Kaynak: Cyble)
- Paket: com.cloud.loan
- SHA256 Karma: a940c9c54ff69dacc6771f1ffb3c91ea05f7f08e6aaf46e9802e42f948dfdb66
- C&C sunucusu: hxxp://bweri6[.]cc
- Ekran kayıtları bu sunucuya gönderilmektedir: hxxp://8.219.85[.]91:8888/push-streaming?id=1234.
- Komut almak için C&C sunucusu: hxxp://bweri6[.]cc/x/command?token=&width=1080&height=1920
- Banka ayrıntılarını sormak için eylem kodu 15: “bankName”, “bankImg” ve “bank_id”
- Eylem kodu 5, cep telefonu numaralarını ve mesajları göndermek için kullanılır.
- Banka kartı ayrıntılarını göndermek ve panoya eklemek için eylem kodu 29.
- Parola güçlendirme nesnesi kullanılarak gönderilir.
2022’de bu kampanyayı tespit etme ve ele alma örnekleri
Daha önce Tayland Özel Soruşturma Dairesi (DSI) tarafından Temmuz 2022’de tespit edilmiş ve uyarı ile bildirilmişti. Ardından, kampanyanın arkasındaki siber suçlular, Tayland’ın DSİ web sitesinin sahte veya kopya sürümlerini oluşturdu.
Kampanya, Eylül ayında Tayland Telekomünikasyon sektörü Cert (TTC-Cert) tarafından da tespit edildi. TTC-Cert, bu kampanyayla ilişkili kötü amaçlı yazılım buldu – teknik danışma belgesinde bahsedilen Revenue.apk.
TTC-Cert tarafından yapılan raporlamanın ardından, kötü amaçlı yazılımın yayılması, birkaç klonlanmış web sitesinin oluşturulması ve Peru ve Filipinler’deki kullanıcıları hedefleme dahil olmak üzere çeşitli şekillerde arttı. Siber suçlular, hedeflerinin güvenini kazanmak için aşağıda gösterildiği gibi büyük ölçüde devlet kurumlarının sahte simgelerine güveniyor gibi görünüyor:
(Kaynak: Cyble)
Kimliğine büründüğü tespit edilen web sitelerinin simgeleri:
- Shopee Tayland
- Tavsiye – Tayland’dan BT şirketi
- Banco de Comercio – Peru bankası
- Thai Lion Air – Tayland Havayolu
- Kasikornbank Tayland
- Tay sünneti
- Filipin İç Gelir Bürosu
- DSİ – Tayland Özel Soruşturma Departmanı