Çinli şirketler tarafından üretilen ucuz Android akıllı telefonlar, Haziran 2024’ten bu yana bir kampanyanın bir parçası olarak kripto para birimi kesme işlevselliği içeren WhatsApp ve telgraf olarak maskelenen truva atlı uygulamalarla önceden yüklendi.
Finansal bilgileri çalmak için kötü amaçlı yazılım uygulamaları kullanmak yeni bir fenomen olmasa da, Rus antivirüs satıcı doktorunun yeni bulguları, çeşitli Çinli üreticilerin tedarik zincirini kötü amaçlı uygulamalara sahip yeni cihazları önceden hedefleyen tehdit aktörlerinin önemli bir artışa işaret ediyor.
Şirket, “Hileli uygulamalar doğrudan telefonda önceden yüklenen yazılımda tespit edildi.” Dedi. “Bu durumda, Whatsapp Messenger’a kötü amaçlı kod eklendi.”
Meyveden çıkarılan cihazların çoğunluğunun Samsung ve Huawei’den S23 Ultra, S24 Ultra, Note 13 Pro ve P70 Ultra gibi isimlerle iyi bilinen premium modelleri taklit eden düşük uçlu telefonlar olduğu söyleniyor. Etkilenen modellerin en az dördü SHOWJI marka.
Saldırganların, Hakkında Cihaz sayfasında görüntülenen teknik spesifikasyonun yanı sıra Aida64 ve CPU-Z gibi donanım ve yazılım bilgi kamu hizmetlerini taklit etmek için bir uygulama kullandıkları ve kullanıcılara telefonların Android 14’ü çalıştırdığı ve donanım geliştirdiği yanlış bir izlenim verdiği söyleniyor.
Kötü niyetli Android uygulamaları, Lspatch adlı açık kaynaklı bir proje kullanılarak oluşturulur ve Shibai olarak adlandırılan Truva atı, başka türlü meşru yazılıma enjekte edilmesine izin verir. Toplamda, haberciler ve QR kod tarayıcıları gibi yaklaşık 40 farklı uygulamanın bu şekilde değiştirildiği tahmin edilmektedir.
Doctor Web tarafından analiz edilen eserlerde uygulama, APK dosyasını saldırganın kontrolü altındaki bir sunucudan almak için uygulama güncelleme sürecini ele geçirir ve Ethereum veya Tron ile ilişkili kripto para birimi cüzdanı adres kalıplarıyla eşleşen sohbet konuşmalarında dizeler arar. Bulunursa, bunların yerini düşmanın işlemlerini yeniden yönlendirme adresleri ile değiştirilir.
Doctor Web, “Giden bir mesaj söz konusu olduğunda, tehlikeye atılan cihaz kurbanın kendi cüzdanının doğru adresini görüntülerken, mesajın alıcısı dolandırıcıların cüzdanının adresini gösteriyor.” Dedi.
“Ve gelen bir mesaj alındığında, gönderen kendi cüzdanlarının adresini görür; bu arada, kurbanın cihazında, gelen adres bilgisayar korsanlarının cüzdanının adresi ile değiştirilir.”
Cüzdan adreslerini değiştirmenin yanı sıra, kötü amaçlı yazılımlar ayrıca cihaz bilgilerini, tüm whatsApp mesajlarını ve .jpg, .png ve .jpeg görüntülerini, saldırgan sunucusuna DCIM, resimler, alarmlar, indirmeler, belgeler ve ekran görüntüleri klasörlerinden hasat etme özellikleri ile donatılmıştır.
Bu adımın arkasındaki amaç, Cüzdan Kurtarma (AKA anemonik) cümleleri için saklanan görüntüleri taramak, tehdit aktörlerinin kurbanların cüzdanlarına yetkisiz erişim elde etmelerini ve varlıkları boşaltmalarını sağlamaktır.
Kampanyanın arkasında kimin olduğu açık değil, ancak saldırganların kötü amaçlı uygulamaları dağıtmak ve işlemi yönetmek için 60’tan fazla komut ve kontrol (C2) sunucusu kullanmak için yaklaşık 30 alandan yararlandıkları bulundu.
Tehdit aktörleri tarafından kullanılan yaklaşık iki düzine kripto para cüzdanının daha fazla analizi, son iki yılda 1.6 milyon dolardan fazla aldıklarını ve bu da tedarik zinciri uzlaşmasının büyük bir şekilde ödediğini gösterdi.
Geliştirme, İsviçre Siber Güvenlik Şirketi Protaft’ın hassas bilgileri (örneğin, cihaz modeli, telefon numaraları, Android sürümü, SIM kart detayları ve yüklü uygulamalar) toplamak için tasarlanmış yeni bir Android kötü amaçlı yazılım ailesini ortaya çıkardığı ve enfekte cihazlara ana kısa erişimini ve uzak sunucudan komutlar alması halinde geliyor.
“Kotlin’de yazılmıştır, öncelikle SMS müdahalesine ve komut ve kontrol (C2) sunucusuyla kalıcı iletişime odaklanmaktadır.” Dedi. “Birçok gelişmiş kötü amaçlı yazılım suşundan farklı olarak, Gorilla henüz aktif gelişme altında olabileceğini gösteren gizleme teknikleri kullanmıyor.”
Son aylarda, Google Play Store aracılığıyla yayılan FakeApp Trojan’ı yerleştiren Android uygulamaları, yüklenecek bir URL içeren bir yapılandırmayı almak için bir DNS sunucusundan yararlandığı bulundu.
Bu uygulamalar, pazardan kaldırıldığından beri, iyi bilinen ve popüler oyunları ve uygulamaları taklit eder ve istenmeyen web sitelerini yükleme veya kimlik avı pencerelerine hizmet etme gibi çeşitli kötü niyetli işlemler gerçekleştirebilen harici komutlar alma yeteneği ile donatılmıştır.