Siber güvenlik araştırmacıları, gözetim, veri açığa çıkması ve uzaktan cihaz kontrolü için tasarlanmış sofistike bir uzaktan erişim Truva Eden (sıçan) olan Androidos Spynote kötü amaçlı yazılımını dağıtan kalıcı bir kampanya ortaya çıkardılar.
Bu işlem, popüler Android uygulamaları için meşru Google Play mağaza sayfalarını taklit ederek kullanıcıları kötü amaçlı APK dosyalarını indirmeye kandırıyor.
Daha önce bir Nisan Domaintools İstihbarat (DTI) raporunda daha önce detaylandırılmış aynı tehdit oyuncusu ile bağlantılı olan kampanya, IP çözünürlüklerindeki kaymalar ve spynote yükünü tespitten korumak için APK damlası içindeki gelişmiş anti-analiz önlemleri de dahil olmak üzere taktiklerdeki küçük evrimler gösteriyor.
Spynote kampanyası Android kullanıcılarını hedefliyor
Spynote’un yetenekleri, cihaz kameralarına ve mikrofonlara uzaktan erişimi, çağrı yönetimi, komut yürütme, kimlik bilgisi hırsızlığı için anahtarlama ve iki faktörlü kimlik doğrulama (2FA) kodlarını engellemek için Android erişilebilirlik hizmetlerinin kullanımı kapsayan kapsamlıdır.
Yönetici ayrıcalıkları verildiğinde, veri silme, cihaz kilitleme veya ek kötü amaçlı yazılımların kurulumunu sağlar, casusluk ve finansal siber suç için yüksek riskli bir araç olarak konumlandırılır.
Aldatıcı web siteleri, Namesilo, LLC ve Xinnet Technology Corporation gibi kayıt şirketleri aracılığıyla kayıtlı alanlarda barındırılan otantik oyun mağazası arayüzlerinin statik HTML ve CSS klonlarıdır.
Bu siteler, R10 ve R11 gibi ihraççılardan NGINX sunucuları ve SSL sertifikalarını kullanan LightNode Limited ve Vultr Holdings LLC gibi sağlayıcılarla ilişkili IPS’ye karar verir.
Dnsowl’dan adlandırıcılar[.]com ve xincace[.]com yaygındır, 154.90.58 gibi adreslere önemli kararlar ile[.]26 ve 199.247.6[.]61.
Unpkg referansları dahil gömülü komut dosyaları[.]com/[email protected] ve “sbw2n88113vmfze5mf_35vmk5f1wg04l5jcje” gibi gizlenmiş dizeler, indirme mekanizmasını kolaylaştırır.
Sahte “Yükle” düğmesini tıkladıktan sonra, bir JavaScript işlevi, sayfadan uzaklaşmadan APK indirmesini tetiklemek için gizli bir IFrame oluşturur.
Evrimleşmiş kötü amaçlı yazılım teslimi
Kötü amaçlı yazılım yürütme zinciri, chrome.apk (SHA-256: 48AA5F908FA612DCB38ACF4005de72b93794ce274bb755e72b93794ce274bb755de72b93794ce274bb7555), ANTRIST ANTRIST ANTRIS ANSIS ANTRIST ANTRIST ANTRIST APSIST APK ile başlar. İsim, “Rogcysibz.wbnyvkrn.sstjjs” gibi “62646632363164386413238363333631” veren.
Bu damlalık, çalışma zamanında sınıf yükleyiciyi değiştirmek için yansıma yoluyla DEX elemanı enjeksiyonu kullanır ve veri müdahalesi için statik analizden ve kaçırma uygulaması işlevlerinden kaçınmak için meşru öğelerden önce kötü amaçlı kod ekler.
Varlıkları 000 ve 001 dosyalarından birleştirir ve şifresini çözer, bunları çekirdek spynot APK’ya (SHA-256: 86E8D3716318E9BBB63B8D3DEA7FBAFFA8BFBB674B9E8), DYSXBB674B9E8), Dyxpb674B9E8), birleştirir. Komut ve kontrol (C2) mantığı.
Son örnekler, kod mantığını belirlemek ve ters mühendisliği engellemek için ‘O’, ‘O’ ve ‘0’ varyasyonlarını kullanarak kontrol akışı ve tanımlayıcı aşımını içerir.
C2 bağlantısı, dayanıklılığı artıran, sabit kodlu bir etki alanı listesinden seçilen WebSocket URL’leri aracılığıyla kurulur.
Tehdit oyuncusu, Ihappy ve Camsoda gibi sosyal platformlar, 8 top havuzu gibi oyunlar ve Chrome gibi kamu hizmetleri de dahil olmak üzere, tüketicilere fırsatçı, finansal olarak motive olmuş saldırıları gösteren çok çeşitli sahte uygulamaları hedefliyor.
Altyapı, rotasyonları olmayan ancak büyük çeşitlendirme olmayan iki birincil IP ile sınırlı kalır ve teslimat kodu Çince yorumları içerir, ancak ilişkilendirme belirsizdir.
Bu kampanya, aktörün mütevazı teknik karmaşıklığına rağmen, sosyal mühendislik yoluyla mobil farelerin kalıcı tehdidinin altını çiziyor.
Öneriler arasında sahte sitelere karşı tarayıcı uyarılarını desteklemek, gizlenmiş APK’lar için antivirüs algılaması ve kötü amaçlı C2 bağlantıları için VPN düzeyinde filtrelemeyi entegre etmek yer alır.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Örnekler |
|---|---|
| IPS | 154.90.58[.]26, 199.247.6[.]61 |
| Alanlar | MCSPA[.]üst, pyfcf[.]üst, atdfp[.]Üst (ve diğerleri raporda listelenmiş) |
| APK URL’leri | HTTPS[:]// bcgrt[.]Üst/Güzellik[.]APK, HTTPS[:]// megha[.]Üst/Ihappy[.]APK (vb.) |
| Droppers (SHA-256) | db91da6b3e85d9c11255e5eef10e5636b1d5e5d9e41798daa22a58ae0b2c29f (ve diğerleri) |
| Spynote (SHA-256) | 86E8D3716318E9BB63B86AEBE185DB5DB6718CB3DDEA7FBAFEFA8EBFB674B9E8 (ve Varyantlar) |
| C2 Alanları | MskisdaKW[.]üst, fsdlaowaa[.]üst (vb.) |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!