Araştırmacılar, marka taklitini trafik para kazanma taktikleri ile ustaca birleştiren ve kullanıcıları birden fazla bölgedeki kullanıcıları hedefleyen aktif bir Android kötü amaçlı yazılım kümesini ortaya çıkardılar.
Bu kötü amaçlı Android Paket Kiti (APK) dosyaları, geleneksel güvenlik önlemlerinden kaçınmak için sosyal mühendislik ve pazar dışı dağıtım kanallarından yararlanarak, oturum açma kimlik bilgileri gibi hassas verileri sunmak için kullanıcı güvenini avlıyor.
Kampanya, meşru hizmetler, tanıtım araçları veya popüler markalar olarak gizlenmiş APS’leri dağıtıyor, kurbanları kimlik avı mesajları veya aldatıcı web içeriği ile manuel kurulumlara çekiyor.
Kurulduktan sonra, bu uygulamalar Android’in izin verilen izin modelini kötüye kullanır, hassas cihaz kaynaklarına erişim sağlar, arka plan kalıcılığını sağlar ve reklam sahtekarlığı için ağ trafiği kaçırmayı kolaylaştırır.
Bu, reklam izlenimlerini şişirmek için kullanıcı etkileşimlerini simüle etmeyi, bağlı kuruluş hunileri aracılığıyla trafiği yönlendirmeyi veya hileli tıklama metrikleri oluşturmayı içerirken, kişiler, çağrı günlükleri ve cihaz meta verileri gibi verileri hasat ederken.
Çeşitli APK varyantları
Analiz edilen APK örnekleri, değişen sofistike olmakla birlikte, çalışma zamanı davranışını yerel ayarlara, dile veya sanallaştırılmış ortamlara göre uyarlayan modüler yükler içeren aynı tehdit kümesiyle paylaşır.
Kategoriler arasında gerçek işlevsellik olmadan sahte izlenimler üretmeye odaklanan reklam sahtekarlık uygulamaları; Kimlik bilgilerini sessizce dışarı atmak için finansal veya sosyal platformların giriş sayfalarını taklit eden kimlik bilgisi stealers.
Minimum kullanıcı etkileşimi ile hassas bilgileri toplamak için kamu hizmetleri veya oyunlar olarak poz veren arka plan veri hasatçıları; Reklam görüntüleme veya kurulumlar için teşvikler vaat eden ancak aşırı izinleri ve gizli veri toplama yerleştirme görevlerini ödüllendirir; ve kişisel ve finansal verilere erişmek için yasal gri alanlardan yararlanan kumar uygulamaları.
Yaygın taktikler, para kazanılmış alanlar aracılığıyla trafik yeniden yönlendirmeyi, genymotion sezgisellikleri gibi emülatör kontrolleri yoluyla sanal alan tespitini ve sert kodlanmış anahtarlarla AES-ECB kullanarak şifreli komut ve kontrol (C2) iletişimini içerir.
Dikkate değer bir varyant, sahte bir Facebook APK (SHA-256: 6E47540EE83E8F0F886D24F5A948E1FF2328F53D2D160 gibi PHSHISH açılış sayfaları yoluyla dağıtılır.[.]9jtfb7jt[.]VIP, Access_fine_Location dahil olmak üzere geniş izinler ve meşru bileşenleri taklit edenler dahil.
Kurulum sonrası, fb.kodownapp gibi alanlardan baz64 kodlu, AES şifreli yapılandırma dosyalarını getirir[.]Üst, Modüler C2 uç noktaları ve geri dönüş kanallarını, sistem bölgesi, platform tanımlayıcıları ve kullanıcı meta verileri dahil olmak üzere telemetri eksfiltrasyonu için çarpışma raporlama API’leri olarak gizlenmiş.
Altyapı içgörüler
Daha fazla diseksiyon, kötü amaçlı yazılımların Android imza doğrulamasını atlamak için Apksignaturekillerex kullanımını ortaya çıkardı ve origin gibi ikincil yükler enjekte etti.
Uyarlanabilir davranışlar, tespit edilen kum havuzlarındaki işlemleri değiştirme, yüklerin geciktirilmesi ve cihaz değerine dayalı seçici aktivasyon, otomatik analizden kaçınmayı içerir.
Altyapı Analizi Segmentli Alt Boalanlar (örn. APK.KODOWNAPP[.]Üst, tk.kodownapp[.]Top) Tiktok gibi markaları taklit eden kampanyaları destekleyen, her zaman aktif olmasa da kripto para birimi cüzdanlarına ve kimlik bilgisi fonksiyonlarına yerleşik referanslarla.
Atıf, kod ve panellerde basitleştirilmiş Çince tarafından kanıtlanan, Alibaba Cloud’da barındıran olası Çince konuşan operatörlere işaret ediyor ve yeraltı ekonomileri ile çalınan mobil veriler, bağlı kuruluş sahtekarlık kitleri ve cihaz parmak izi API’leri ile hizalanıyor.
TrustWave raporuna göre, bu ekosistem hizmet olarak kötü amaçlı yazılım modelleri aracılığıyla ölçeklenebilir, düşük sürtünmeli saldırılar sağlar.
Kampanyanın reklam sahtekarlığı ve kimlik bilgisi hırsızlığı karışımı, gelecekteki istismarlar için para kazanma ve istihbarat toplama niyetinin altını çiziyor.
Bu tür tehditlere karşı koymak için, kullanıcılar kurulumları Google Play gibi güvenilir kaynaklarla sınırlamalı, istenmeyen APS’leri mesajlaşma veya promosyonlardan incelemeli ve izin kötüye kullanımının farkındalığını artırmalıdır.
Kuruluşlar, bu uyarlanabilir, ikna edici kötü amaçlı yazılım işlemlerine karşı savunmaları desteklemek için mobil uygulama tedarik zinciri görünürlüğüne ve kullanıcı eğitimine öncelik vermelidir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now