Microsoft 365 Defender Araştırma Ekibi, daha önce bildirilen bir bilgi hırsızı Android kötü amaçlı yazılımının yeni bir sürümüyle ilgili bulgularını yayınlayarak, tehdit aktörlerinin saldırı spektrumlarını sürekli olarak geliştirdiğini vurguladı.
Araştırma bulguları
Microsoft araştırmacılarına göre, kötü amaçlı yazılım şu anda aktif olan bir SMS kampanyasında dağıtılıyor ve bir bankacılık ödülleri uygulaması olarak maskeleniyor. Kampanyanın birincil hedefleri Hintli banka müşterileridir. Temel olarak alıcıyı kötü amaçlı yazılımı indirmeye çeken bir URL içeren mesajlar gönderen tehdit aktörleriyle başlar.
Kullanıcı etkileşimi üzerine banka logolu bir açılış ekranı görüntüler ve kullanıcıdan uygulama için belirli izinleri etkinleştirmesini istemeye devam eder.
Enfeksiyon zinciri, alıcının bir Hint bankasından ödül talep etmesini isteyen bir SMS mesajıyla başlar. Bu mesaj, kullanıcıyı sahte bir bankacılık ödülleri uygulaması indirmeye yönlendiren kötü amaçlı bir bağlantı içerir. Bu uygulama şu şekilde algılandı: “TrojanSpy:AndroidOS/Banker.O”
Uygulamanın C2 sunucusu, tümü açık kaynak istihbaratına dayanan 75 farklı kötü amaçlı APK’ya bağlıdır. Araştırma ekibi, aşağıdakiler de dahil olmak üzere Hintli banka müşterilerini hedefleyen birçok başka kampanya belirledi:
- icici_points.apk
- icici_rewards.apk
- SBI_rewards.apk
- Axisbank_rewards.apk
Araştırmaları, ICICI Rewards olarak temsil edilen icici_rewards.apk etrafında dönüyordu. SMS mesajının içindeki kötü amaçlı bağlantı, APK’yı alıcının mobil cihazına yükler. Kurulumdan sonra, banka logosunu gösteren bir açılış ekranı, kullanıcıdan uygulama için belirli izinleri etkinleştirmesini ister.
Kötü Amaçlı Yazılım Analizi
Microsoft’un blog gönderisine göre, bu yeni sürümü farklı kılan şey, ek RAT (uzaktan erişim truva atı) yeteneklerinin dahil edilmesidir. Ayrıca, bu kötü amaçlı yazılım son derece gizlenmiştir. RAT yetenekleri, saldırganların örneğin gelen mesajlar gibi kritik cihaz bildirimlerini engellemesine ve ayrıca kullanıcının bankacılık/finansal uygulamalara erişmek için ihtiyaç duyduğu 2FA mesajlarını yakalamaya çalışmasına olanak tanır.
Kötü amaçlı yazılım, e-posta hesapları için hassas bilgilerin çalınmasına yardımcı olmak için tüm SMS mesajlarını ve OTP (tek kullanımlık parola) PII (kişisel olarak tanımlanabilir bilgiler) gibi diğer verileri çalabilir.
Kötü amaçlı yazılım, rutinlerini gerçekleştirmek için MainActivity, AutoStartService ve RestartBroadCastReceiverAndroid özelliklerini kullanarak arka planda çalışır ve mobil cihazda kalıcılığı korumak için bunların çalışmaya devam etmesini sağlar.
Açılış ekranını görüntülemek için önce MainActivity (başlatıcı etkinliği) başlatılır ve ardından cihazın internet bağlantısını kontrol etmek için OnCreate() yöntemini çağırır. Ayrıca kötü amaçlı yazılım yükleme zaman damgasını da kaydeder. Permission_Activity, izin isteklerini başlattı ve daha sonra kötü amaçlı yazılımın ana işleyicisi olan AutoStartService ve login_kotak olarak adlandırıldı.
Bu kötü amaçlı yazılımın devam eden evrimi, mobil cihazları koruma ihtiyacını vurgulamaktadır. Daha geniş SMS çalma yetenekleri, saldırganların çalınan verilere bir kullanıcının diğer bankacılık uygulamalarından daha fazla çalmasına izin verebilir. SMS üzerinden gönderilen tek seferlik şifreleri (OTP’ler) ele geçirme yeteneği, bankaların, kullanıcıların ve kurumların işlemlerini güvende tutmak için güvendikleri iki faktörlü kimlik doğrulama mekanizmalarının sağladığı korumaları engeller.
Microsoft 365 Defender Araştırma Ekibi
Tehdidi azaltmak için Android cihaz kullanıcıları, doğrulanmamış kaynaklardan uygulama yüklemesini önlemek için Bilinmeyen Kaynaklar seçeneğini devre dışı bırakmalıdır. Ve kötü amaçlı uygulamaları tespit etmek için güvenilir mobil güvenlik çözümlerine güvenmeleri gerekir.
Alakalı haberler
- SpyNote Truva Atı (RAT); Android Kullanıcıları İçin Bir Kötü Haber Daha
- BRATA Android kötü amaçlı yazılım fabrikası, fonları çaldıktan sonra telefonları sıfırlıyor
- Yeni MaliBot Android Kötü Amaçlı Yazılım Kişisel Verileri ve Bankacılık Verilerini Çaldı
- Sahte Netflix, WhatsApp, Facebook Android Uygulamaları SpyNote RAT İçeriyor
- Yeni Rus Android Kötü Amaçlı Yazılımı, GPS Konumunu Takip Ediyor ve Kurbanlara Casusluk Yapıyor