Araştırmacılar, Telegram kullanıcılarını hedef alan SpyMax adlı yeni bir Android RAT (Uzaktan Yönetim Aracı) keşfettiler. Bu RAT, köklü bir cihaz gerektirmediği için özellikle tehlikelidir ve bu da kurbanları enfekte etmeyi kolaylaştırır.
SpyMax, cihazdan kişisel verileri çalıp saldırganın kontrolündeki uzak bir sunucuya gönderiyor. Saldırganlar, burada kimlik avı tekniklerini kullanarak kullanıcıları kandırıyor ve meşru bir Telegram uygulaması gibi görünen kötü amaçlı bir uygulamayı indirmelerini sağlıyor ve yüklendikten sonra tespit edilmekten kaçınmak için normal bir Telegram uygulaması gibi gizleniyor.
Analiz edilen APK istismarları, harici depolama alanında dosya adı zaman damgalarıyla günlükleri depolamak için bir dizin oluşturan bir tuş kaydedici Truva Atı olarak işlev görme izni verdi.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Kötü amaçlı yazılım, gZIPOutputStream API’sini kullanarak Komuta ve Kontrol (C2) sunucusuna iletilmeden önce sıkıştırılan irtifa, enlem, boylam, hassasiyet ve cihaz hızı gibi kapsamlı konum verilerini toplar.
Analiz edilen Uzaktan Erişim Truva Atı (RAT), kötü amaçlı yazılım içerisinde gizlenmiş port numarasıyla 7771 numaralı portta IP 154.213.65.28’deki bir Komuta ve Kontrol (C2) sunucusuyla iletişim kuruyor.
Başarılı bir bağlantıdan sonra, RAT gzip sıkıştırılmış verileri C2 sunucusuna iletir. Bu verilerin sıkıştırılması cihazın IP adresini açığa çıkarır ve bu da saldırganın enfekte olmuş sistemi tanımlamasına ve daha fazla istismar etmesine olanak tanır.
Komuta ve Kontrol (C2) saldırısında, saldırganın sunucusu (C2), sistem komutlarını ve kötü amaçlı bir APK yükünü içeren sıkıştırılmış verileri tehlikeye atılan cihaza gönderir.
K7 Güvenlik Laboratuvarları’ndaki güvenlik araştırmacıları, Cyberchef adlı bir araç kullanarak verileri sıkıştırmayı ve APK dosyasını çıkarmayı başardılar.
C2 sunucusu, kurbanın cihazına dosya çalma, ekran görüntüsü alma, ses kaydı yapma gibi çeşitli komutlar gönderebiliyor.
Mobil güvenlik ürünü kullanmak, yazılımları güncel tutmak, güvenlik açıklarını kapatmak ve uygulamaları yalnızca güvenilir kaynaklardan indirmek bu saldırıları durdurabilir.
Tehlike göstergelerinin (IoC) analizi, https://telegroms adresinden bir uygulama indirme kılığında gizlenmiş kötü amaçlı bir Android paketi (reputation.printer.garmin, karma: 9C42A99693A2D68D7A19D7F090BD2977) aracılığıyla yayılan olası bir Truva atı enfeksiyonunun (005a5d9c1) olduğunu gösteriyor.[.]icu/varlıklar/indir/hazır.apk.
Kötü amaçlı yazılım, dosyaları veya bilgileri gizleyerek ve e-posta içerikleri de dahil olmak üzere enfekte olmuş sistemden bilinmeyen tekniklerle veri toplayıp keşfedebilen sanal alanlardan kaçınarak tespit edilmekten kaçınmaya çalışabilir.
Komuta ve kontrol sunucusuyla (C2) iletişim, standart dışı bir portta (154.213.65.28:7771) şifrelenmiş bir kanal kullanabilir.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files