Android cihazlarını hedef alan yeni bir RAT kötü amaçlı yazılımı keşfedildi. Bu kötü amaçlı yazılım, diğer RAT kötü amaçlı yazılımlarına kıyasla ek komutlar yürütme yeteneğine sahiptir.
Bu kötü amaçlı yazılım, kurbanın kimlik bilgilerini toplamak için Snapchat, Instagram, WhatsApp, Twitter ve Google gibi meşru uygulamalar gibi görünerek kimlik avı saldırıları da gerçekleştirebilir.
Sonicwall’un daha ayrıntılı araştırması, varlıklar klasöründe, çeşitli meşru uygulamaların yinelenen oturum açma sayfaları olan birden fazla HTML dosyasından oluştuğunu ortaya çıkardı.
Bu dosyalar kullanıcılardan kimlik bilgilerini toplayacak ve bunları C2 sunucusuna geri gönderecektir.
.webp)
Bu kötü amaçlı yazılımın bulaşma zinciri, kötü amaçlı uygulamanın kurbanın Android cihazlarına yüklenmesinden sonra başlıyor.
Ancak uygulamayı yüklerken, yüklü cihazın kontrolünü ele geçirmek ve daha fazla kötü amaçlı eylem gerçekleştirmek için Erişilebilirlik hizmetinden ve Cihaz yöneticisinden izin ister.
Bu kötü amaçlı yazılımın dağıtımı hala belirsiz ancak araştırmacılar bunun geleneksel sosyal mühendislik teknikleri kullanılarak yapılacağını tahmin ediyor.
Kurulumun ardından kötü amaçlı yazılım, belirli görevlere yönelik talimatlar ve komutlar almak üzere C2 sunucusuyla iletişim kurar.
Kötü amaçlı yazılım tarafından yürütülen komutların listesi aşağıdaki gibidir:
C2 URL’sinin de kaynak dosyasına gömülü olduğu bulundu.
Kötü amaçlı yazılım, C2 sunucusundan komutlar aldıktan sonra, HTML dosyalarını (kimlik avı) kullanarak sahte bir oturum açma sayfası görüntüleyerek tarayıcılardan ve diğer Android uygulamalarından kimlik bilgilerini toplamaya devam eder.
.webp)
Kurbanlar kimlik avı sayfalarına kimlik bilgilerini girdiklerinde toplanıp showTt işleviyle paylaşılıyor.
Ayrıca kötü amaçlı yazılım, kurbanın cihazında saklanan telefon numaralarının listesini topluyor ve bir koşul karşılandığında cihazın duvar kağıdını değiştirmeye çalışıyor.
‘Str’ parametresi şifresi çözülen değeri 0, 1 veya 2 ile eşleştiriyorsa, duvar kağıdını değiştirme koşulu belirli bir kaynakla ilgilidir.
Kötü amaçlı yazılım ayrıca kurbanın cihazından yüklü uygulamalar hakkındaki bilgileri de alıyor.
Kötü amaçlı yazılım kodunun ayrıntılı analizinden sonra, kötü amaçlı yazılım, kurbanın cihazındaki el fenerini açmak/kapatmak için CameraManager’ı da kullanır.
Ayrıca kötü amaçlı yazılım, C2 sunucusundan aldığı girdilere göre belirli bir numaraya mesaj gönderiyor.
.webp)
Uzlaşma Göstergeleri
- 0cc5cf33350853cdd219d56902e5b97eb699c975a40d24e0e211a1015948a13d
- 37074eb92d3cfe4e2c51f1b96a6adf33ed6093e4caa34aa2fa1b9affe288a509
- 3df7c8074b6b1ab35db387b5cb9ea9c6fc2f23667d1a191787aabfbf2fb23173
- 6eb33f00d5e626bfd54889558c6d031c6cac8f180d3b0e39fbfa2c501b65f564
- 9b366eeeffd6c9b726299bc3cf96b2e673572971555719be9b9e4dcaad895162
- a28e99cb8e79d4c2d19ccfda338d43f74bd1daa214f5add54c298b2bcfaac9c3
- d09f2df6dc6f27a9df6e0e0995b91a5189622b1e53992474b2791bbd679f6987
- d8413287ac20dabcf38bc2b5ecd65a37584d8066a364eede77c715ec63b7e0f1
- ecf941c1cc85ee576f0d4ef761135d3e924dec67bc3f0051a43015924c53bfbb
- f10072b712d1eed0f7e2290b47d39212918f3e1fd4deef00bf42ea3fe9809c41
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training -> Try Free Demo