Siber güvenlik araştırmacıları, hassas kişisel verileri çalmak için sahte randevu, sosyal ağ, bulut depolama ve araba hizmeti uygulamalarına sahip Android ve iOS platformlarını hedefleyen yeni, büyük ölçekli bir mobil kötü amaçlı yazılım kampanyası keşfettiler.
Platformlar arası tehdidi Zimperium Zlabs tarafından Sarangtrap olarak adlandırıldı. Güney Kore’deki kullanıcılar birincil odak noktası gibi görünüyor.
Güvenlik araştırmacısı Rajat Goyal, “Bu kapsamlı kampanya 250’den fazla kötü niyetli Android uygulaması ve hepsi meşru tarihleme ve sosyal medya uygulamaları olarak gizlenmiş 80’den fazla kötü niyetli alan içeriyordu.” Dedi.
Meşru uygulama mağazası listeleme sayfalarını taklit eden sahte alanlar, kullanıcıları bu uygulamaları yüklemeye kandırmak için bir cazibe olarak kullanılır, bu da meşruiyet yanılsamasını sürdürürken kişi listelerinin ve görüntülerin püskürtülmesine neden olur.
Yüklendikten sonra, Android uygulamaları kurbanı bir davet kodu girmeye teşvik eder, daha sonra bir komut ve kontrol (C2) sunucusuna karşı onaylanır. Uygulama daha sonra, reklamı yapılan işlevselliği sunma bahanesi altında SMS mesajlarına, iletişim listelerine ve dosyalara erişmesine izin veren hassas izinler talep etmeye devam eder.
Kötü niyetli davranışların bir davet koduna aktivasyonunun birleştirilmesi, kötü amaçlı yazılımların dinamik analizlerden ve antivirüs taramalarından ve sessizce hoover verilerinden kaçmasına izin verdiği için akıllı ve sinsidir.
Kampanyanın iOS sürümünün, kullanıcıları cihazlarına aldatıcı bir mobil yapılandırma profili yüklemeye ikna ettiği ve ardından konfigürasyonu, fotoğrafları ve fotoğraf kitaplığını yakalamak için uygulama yüklemesini kolaylaştırmak için kullandığı bulunmuştur.
Kampanyanın aktif geliştirmede olduğu söyleniyor ve kötü amaçlı yazılım örneklerinin yeni varyantları, kendilerini harici bir sunucuya temas, görüntü ve cihaz bilgilerini toplamakla sınırlıyor. Ayrıca, etkinliğin arkasındaki tehdit aktörlerinin, kişisel videoları aile üyeleriyle paylaşma tehdidiyle şantaj kurbanlarına başvurduğuna dair kanıtlar da var.
Goyal, “Bu rahatsız edici hikaye izole bir olay değil; bu kampanyaların duygusal kırılganlıktan yararlanmak için kullandığı psikolojik manipülasyon ve sosyal mühendislik taktiklerini vurguluyor.” Dedi.
“Mağdurlar, sadece bir gözetim, gasp ve aşağılama döngüsüne yakalandıklarını keşfetmek için arkadaşlık vaadiyle kötü amaçlı yazılım kurmaya ikna ediyorlar.”
Açıklama, siteye gömülü bir QR kodu aracılığıyla telgraf mesajlaşma uygulaması olarak poz veren ve MediaPlayer API’si kullanılarak veri hırsızlığı, gözetim ve cihaz üzerinde uzaktan komutları etkinleştirmek için uzak komutları gerçek zamanlı olarak yürütmek için 607 Çince alan alanını kuran başka bir kampanyanın ardından geliyor.
Bforeai, “APK bir V1 imza şemasıyla imzalandı ve Android 5.0 – 8.0’daki Janus güvenlik açığına karşı savunmasız hale geldi.” Dedi. “Bu güvenlik açığı, saldırganların aldatıcı uygulamalar yaratmasına izin veriyor.”
“Kötü niyetli uygulamayı hazırladıktan sonra, orijinal V1 imzası kullanılarak yeniden paketlenir. Bu değişiklik tespit edilmez, uzlaşmış uygulamanın şüphe duymadan yüklenmesine izin verir. Özünde, saldırganların bir APK olarak yeniden dağıtmasını ve kullanıcıları (özellikle eski cihazlarda) veya güvenlik kontrolleri olarak yüklemelerini sağlar.”
Güvenilir ve popüler çevrimiçi platformları taklit etmek, Hintli banka müşterilerini ve Bengalce konuşan kullanıcıları, özellikle Suudi Arabistan, Malezya ve Birleşik Arap Emirliklerinde yaşayan Bangladeş’ten insanlar, Phishish siteleri ve Facebook sayfaları aracılığıyla dağıtılan finansal hizmetler olarak ortaya çıkan kötü niyetli uygulamalarla birlikte, Hintli Banka müşterilerini ve Bengalce konuşan kullanıcıları hedefleyen Android kampanyaları tarafından kanıtlandığı gibi başarılı bir uzlaşma vektörü olmuştur.
Uygulamalar, kullanıcıları sözde bir hesap oluşturma sürecinin bir parçası olarak kişisel bilgilerini girmeleri ve mobil para transferlerini, fatura ödemelerini ve banka transferlerini simüle etmek için tasarlanmış sahte işlem arayüzlerinde verileri yakalamak için tasarlanmıştır. Gerçekte, gerçek bir işlem yapılmaz.
McAfee Labs araştırmacısı Dexter Shin, “Saldırı teknikleri yeni olmasa da, kampanyanın kültürel hedeflemesi ve sürekli faaliyeti, siber suçluların stratejilerini belirli topluluklara ulaşmak için nasıl uyarlamaya devam ettiklerini yansıtıyor.” Dedi.
Hint bankacılık hizmetlerini taklit ederek yayılan kötü amaçlı yazılım, Firebase’i C2 operasyonları için kullanıyor ve gerçek kullanıcı arayüzlerini taklit etmek ve banka kartı detayları ve SIM bilgileri de dahil olmak üzere çok çeşitli verileri hasat etmek için kimlik avı sayfalarını kullanıyor. Ayrıca çağrı yönlendirme ve uzaktan arama işlevleri içerir.
Android kötü amaçlı yazılım saldırılarının hedefi haline gelen bir başka Asya ülkesi, finansal ve devlet kurumları olarak poz veren kimlik avı sitelerinin Redhook olarak adlandırılan yeni bir bankacılık Truva atı yaymak için kullanıldığı Vietnam’dır.
Cyble, “WebSocket kullanarak komut ve kontrol (C2) sunucusuna iletişim kurar ve 30’dan fazla uzaktan komutu destekleyerek tehlikeye atılan cihazlar üzerinde tam kontrol sağlar.” Dedi. “Çince diller de dahil olmak üzere kod eserleri, Çince konuşan bir tehdit oyuncusu veya grubunun gelişimini öneriyor.”
RedHook’un dikkate değer bir özelliği, kimlik bilgisi hırsızlığı ve finansal sahtekarlık yapmak için anahtarlog ve uzaktan erişim Truva (sıçan) yeteneklerinin birleşimidir. Ayrıca, üst üste saldırı gerçekleştirmek için Android’in erişilebilirlik hizmetlerini de kötüye kullanır ve ekran içeriğini yakalamak için Mediproprojection API’sından yararlanır.
Kampanya yeni olmasına rağmen, tehdit oyuncusu tarafından kullanılan açık bir AWS S3 kovası, yüklenmiş ekran görüntülerini, sahte bankacılık şablonlarını, PDF belgelerini ve kötü amaçlı yazılımların 27 Kasım 2024’e kadar uzanan davranışlarını detaylandıran görüntüleri ortaya çıkardı.
Şirket, “Redhook’un keşfi, kimlik avı, uzaktan erişim ve finansal sahtekarlık yapmak için keyloglamayı birleştiren Android bankacılık truva atlarının artan sofistike olmasını vurgulamaktadır.” “Meşru Android API’lerinden yararlanarak ve erişilebilirlik izinlerini kötüye kullanan Redhook, birçok güvenlik çözümünün radarı altında kalırken, enfekte cihazlar üzerinde derin bir kontrol kazanıyor.”
Popüler markalar olarak görünen ve sosyal mühendislik ve pazar dışı dağıtım kanallarından yararlanan kötü niyetli Android APS’ler, genellikle reklam metriklerini şişirmek veya kullanıcıları yasadışı gelir üretimi için ortaklık hunileri aracılığıyla yönlendirme hedefi ile veri sifizleme amaçları için sifon ve ağ trafiğini kaçırmaya çalışmıştır.
Kumsör ve sanallaştırılmış ortamlar için kontroller eklemenin yanı sıra, uygulamalar, İLERİ İLE İLGİLİ işlevselliği açmak için modüler bir tasarıma sahiptir.
TrustWave SpiderLabs, “Açık kaynaklı aracı ApksignateKillerex’i Android’in yerel imza doğrulama sürecini alt etmek için kullanıyor ve ikincil bir yükün (origin.APK) enjeksiyonunu uygulamanın dizinine bırakıyor.” Dedi. “Bu, uygulamanın görünüşünü hem işletim sistemine hem de kullanıcılara meşru, uygun şekilde imzalı bir paket olarak korurken, yürütmeyi kötü amaçlı kodlara etkili bir şekilde yeniden yönlendirir.”
Reklam sahtekarlığı taktiklerinin kullanımı Çince konuşan suç gruplarıyla olası bir bağlantı olduğunu düşündürse de, kampanya bilinen herhangi bir tehdit oyuncusu veya gruba atfedilmemiştir.
Hepsi bu değil. IVerify’den gelen yeni araştırmalar, yeni Android odaklı kampanyalar oluşturmanın, aylık abonelik için Phantomos veya Nebula gibi bir Hizmet Olarak Kötü Yazılım (MAAS) kitini kiralamak kadar kolay olabileceğini ve siber suç için çubuğu daha da azalttığını ortaya koydu.
Araştırmacı Daniel Kelley, “Bu kitlerden bazıları 2FA müdahalesi, antivirüs yazılımı, sessiz uygulama yüklemeleri, GPS izleme ve hatta bir markaya özgü kimlik avı kaplamaları ile birlikte geliyor.” Dedi. “Platformlar, telgrafla destek, arka uç altyapısı ve Google Play Protect’i aşmanın yerleşik yolları gibi ihtiyaç duydukları her şeyle geliyor.”
Yeraltı forumlarında ayrıca, kötü amaçlı yazılımların radar altında kalmasına ve sosyal mühendislik tekniklerini kullanarak enfeksiyonları ölçeklendirmesine izin veren krypters ve sömürü kitleri de sunulmaktadır. Böyle bir araç, açık Android Hata Ayıklama Köprüsü (ADB) bağlantı noktalarını arayan ve kurbanın bilgisi olmadan kötü amaçlı bir APK dosyasını iten Android ADB tarayıcısıdır. Hizmet yaklaşık 600 $-750 $ karşılığında mevcuttur.
Kelley, “Belki de bu ekosistemdeki en ilginç gelişme, enfekte cihazların kendilerinin metalaştırılmasıdır.” “Sözde ‘yükleme’ piyasaları, siber suçluların zaten tehlikeye atılmış Android cihazlara erişim satın almasına izin veriyor.”
Valhalla gibi pazarlar, seçilen bir ülkede Ermac, Hook, Hydra ve Octo gibi bankacılık truva atlarının tehlikeye attığı cihazlar sunuyor. Bu yaklaşım, saldırganların kötü amaçlı yazılım dağıtma veya cihazları kendi başlarına bulaşma ihtiyacını ortadan kaldırır. Bunun yerine, seçtikleri faaliyetleri gerçekleştirmek için mevcut botlardan oluşan bir ağı elde edebilirler.
Bu tür uygulamaların ortaya koyduğu riskleri azaltmak için, olağandışı izinler veya davet kodları gerektiren uygulamalar konusunda ihtiyatlı kalmanız, güvenilmeyen kaynaklardan veya gayri resmi uygulama mağazalarından uygulamaları indirmekten kaçınması ve cihaz izinlerini ve yüklü profilleri periyodik olarak gözden geçirmeniz önerilir.