Sikkahbot olarak adlandırılan yeni keşfedilen bir Android kötü amaçlı yazılım, Bangladeş Eğitim Kurulu’ndan resmi başvuru olarak poz vererek Bangladeş’teki öğrencileri aktif olarak hedefliyor. Cyble Araştırma ve İstihbarat Laboratuarları (CRIL) tarafından tanımlanan bu kötü amaçlı yazılım kampanyası, Temmuz 2024’ten beri faaliyet göstermektedir.
Cril’e göre, Sikkahbot kötü amaçlı yazılımları, aşağıdaki bağlantılar da dahil olmak üzere kısaltılmış URL’ler aracılığıyla dağıtılır. biraz[.]ly / sikkahbord– uygulanan[.]kısa[.]gyVe indirme[.]Web Sitesi/Tyup[.]apk. Bu URL’ler muhtemelen smishing saldırıları ile yayılır ve kurbanları hükümet organlarından burs başvuruları gibi kötü niyetli APK dosyaları indirmeye kandırır.
Kurulduktan sonra, sahte uygulamalar kullanıcıları Google veya Facebook hesaplarını kullanarak oturum açmaya ve ad, departman ve Enstitü gibi kişisel bilgileri istemeye teşvik eder. Daha sonra cüzdan numaraları, cüzdan pimleri ve ödeme yöntemleri dahil finansal bilgiler talep eder. Gönderildikten sonra, sahte bir mesaj kurbana bir temsilcinin yakında onlarla iletişime geçeceğini bildirir, kötü amaçlı yazılım arka planda çalışmaya başlarken zaman satın almak için bir iştir.
Sikkahbot kötü amaçlı yazılım: İzin kötüye kullanımı ve otomatik bankacılık sahtekarlığı
Sikkahbot’u ayıran şey, Android izinlerinin agresif kötüye kullanılmasıdır. Kurulum üzerine, kullanıcıları erişilebilirlik hizmeti, SMS erişimi, çağrı yönetimi ve diğer uygulamaları çizme yeteneği dahil olmak üzere yüksek riskli erişim vermeye iter. Bu izinler, cihaz üzerinde derin kontrol ile kullanıcı etkinliğini izlemesine ve manipüle etmesine izin verir.
Bu izinler verildikten sonra, kötü amaçlı yazılım, meşruiyet oluşturmak için sosyal mühendislik stratejisinin bir parçası olan burs aldıkları sözde öğrencilerin doktor görüntülerini gösteren sahte bir ana sayfa etkinleştirir.
Perde arkasında Sikkahbot, gelen tüm SMS mesajlarını engellemek için bir yayın alıcısını kaydediyor. Özellikle Bangladeş’te yaygın olarak kullanılan mobil bankacılık hizmetleriyle ilgili anahtar kelimeleri, “Bkash”, “Nagad” ve “MyGP” ve “16216” ve “26969” gibi ilişkili hizmet numaralarını hedefler. Yakalanan mesajlar daha sonra saldırgan kontrollü bir Firebase sunucusuna gönderilir. Update-App-Sujon-Vefault-RTDB[.]Firebaseio.com.
Erişilebilirlik istismarları ve çevrimdışı USSD işlemleri
Kötü amaçlı yazılımların erişilebilirlik hizmetinden yararlanması özellikle tehlikelidir. Bir kullanıcının BKASH, NAGAD veya Dutch-Bangla Bank gibi bankacılık uygulamalarıyla etkileşime girdiğini tespit ettiğinde, komut ve kontrol sunucusundan kimlik bilgilerini alır. Kullanıcı girişini tamamen atlayarak oturum açma bilgilerini otomatikleştirmeye çalışır.
Kullanıcı bu uygulamaları aktif olarak kullanmıyorsa, Sikkahbot USSD tabanlı bankacılık işlemlerini başlatır. Sunucudan USSD kodları ve SIM yuvası bilgilerini alır, aramaları yürütür ve “Gönder” veya “Tamam” etiketli kullanıcı arayüzü öğelerini tıklatarak yanıt istemleriyle otomatik olarak etkileşir. Bu yöntem, internet erişimi gerektirmeden işlemlere izin verir, düşük bağlanabilir ortamlarda kötü amaçlı yazılımların erişimini ve güvenilirliğini artırır.
Kaçınma ve Evrim
Yüksek riskli davranışına rağmen, Sikkahbot kötü amaçlı yazılım varyantları, kötü amaçlı yazılımların şaşkınlık tekniklerini ve saldırganların sürekli iyileştirmesini vurgulayan bir faktör olan Virustotal’da düşük algılama oranlarını korur. Cril, daha fazla otomatik özellik ve sofistike komut yürütme yöntemleri içeren yeni sürümlerle 10’dan fazla farklı örnek keşfedildiğini bildiriyor.
Cril, teknik analizinde, “Kimlik avı, otomatik bankacılık faaliyeti ve çevrimdışı USSD sömürüsü kombinasyonu, onu şüphesiz öğrencilere karşı finansal sahtekarlık için oldukça etkili bir araç haline getiriyor” dedi.
Koruma önerileri
Gibi kötü amaçlı yazılım kampanyalarına karşı korumak için Sikkahbot, Cril, iyileştirilmiş mobil güvenlik farkındalığı ve proaktif savunma stratejileri ihtiyacını vurgulamaktadır. Anahtar önerileri şunları içerir:
- Uygulamaları yalnızca Google Play Store gibi güvenilir kaynaklardan yükleyin.
- Kısaltılmış veya şüpheli bağlantıları, özellikle SMS veya sosyal medya aracılığıyla alınanları tıklamaktan kaçının.
- Sınır İzinleri: Kesinlikle gerekli ve doğrulanmadıkça erişilebilirlik veya bindirme izinleri vermeyin.
- Finansal uygulamalar için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin.
- Gerçek zamanlı tehdit algılamasını içeren mobil güvenlik yazılımı kullanın.
- Bilinen güvenlik açıklarını yamalamak için Android işletim sistemini ve uygulamalarını güncel tutun.
- Şüpheli etkinlikleri derhal bankanıza bildirin ve gerekirse bir fabrika sıfırlaması yapın.
Cyble’ın tehdit istihbarat platformu, erken tespit yetenekleri, altyapı izleme ve tehdit ilişkilendirmesi sağlayan Sikkahbot gibi ortaya çıkan kötü amaçlı yazılımları izlemeye devam ediyor. Dijital sahtekarlık karmaşıklık ve kapsamda arttıkça, sürekli uyanıklık ve siber güvenlik hijyeni ilk savunma hatları olmaya devam etmektedir.