Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar, Sosyal Mühendislik
Avast Antivirus Kılığına Giren Kötü Amaçlı Yazılım Tespit Edildi
Prajeet Nair (@prajeetspeaks) •
12 Kasım 2024
Android Spynote kötü amaçlı yazılımı, cihazlara sızmak, kontrolü ele geçirmek ve şüphelenmeyen kullanıcılardan hassas bilgileri çalmak için Android süreçlerinden yararlanmak üzere antivirüs yazılımı kılığına giriyor.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Biyometriyi Hacklemek: Parmak İzinizin Güvenli Olduğunu Düşünüyorsanız Bir Daha Düşünün!
Cyfirma’nın bir raporu, kötü amaçlı yazılımın yakın tarihli bir kampanyada kendisini “Avast Mobile Security” olarak gizlediğini gösteriyor.
Kurulumdan sonra, genellikle Erişilebilirlik Hizmetleri gibi antivirüs uygulamalarıyla ilişkili izinler ister. Kötü amaçlı yazılım, bu erişimi sessizce kendisine ek izinler vermek ve kullanıcı kısıtlamalarını aşmak için kullanır. Ayrıca kendisini pil optimizasyonunun dışında tutarak kullanıcıları uyarmadan sürekli çalışmayı mümkün kılar. Ayrıca cihazda kalıcılığı korumak için kullanıcı hareketlerini simüle eder. Yanıltıcı sistem güncelleme bildirimleri görüntüleyerek, dokunulduğunda kullanıcıları kötü amaçlı yazılım uygulamasına geri yönlendirir ve algılamayı ve kaldırmayı önlemek için aldatıcı bir döngü oluşturur.
Özellikle Bitcoin, Ethereum ve Tether gibi popüler varlıklar için özel anahtarları ve bakiye bilgilerini çıkarmayı amaçlayan kripto para birimi hesaplarını hedef alıyor. SpyNote ayrıca komut ve kontrol sunucularıyla iletişim kurmak için kullandığı aktif bir internet bağlantısı sağlamak için ağ trafiğini de izler.
SpyNote’un veri toplama yetenekleri, kimlik bilgilerini yakalamaya ve bunları cihazın SD kartında saklamaya kadar uzanır. Yeterli veriyi topladıktan sonra, kötü amaçlı yazılım kartın üzerine yazı yazarak etkinliğinin izlerini siliyor.
Kötü amaçlı yazılımın gizleme ve kaçırma yetenekleri, onu güvenlik araçları için zorlu bir hedef haline getiriyor. SpyNote, kod gizleme ve özel paketler kullanarak bileşenlerini gizler ve tersine mühendislik ve tespitten kaçınmak için gerçek doğasını gizler. Ayrıca sanal ortamları da tespit ederek araştırmacılar tarafından kullanılan emülatörler veya sanal makineler gibi analiz ortamlarından kaçınmasına olanak tanır.
SpyNote, sistem ayarlarını kaldırma girişimlerine karşı izleyerek ve bunları simüle edilmiş kullanıcı etkileşimleri yoluyla engelleyerek kaldırmaya karşı koyar. Kullanıcı girişlerini simüle etmek için erişilebilirlik hizmetlerini ele geçirerek uygulamayı devre dışı bırakma veya cihaz ayarlarından kaldırma girişimlerini engeller. Kullanıcılar kötü amaçlı yazılımın uygulama ayarlarına veya izinlerine erişmeye çalıştığında, kötü amaçlı yazılım otomatik olarak cihazın ana ekranına geri dönerek varlığını sürdürmesini sağlar.
SpyNote, meşru Avast antivirüs indirme sayfasını taklit eden kimlik avı siteleri aracılığıyla dağıtılır. Bu siteler adlı APK’ları barındırıyor Avastavv.apk kullanıcıların doğrudan Android cihazlarına indirebilecekleri. İOS kullanıcıları için indirme bağlantısına tıklamak, onları AnyDesk Uzak Masaüstü için yasal App Store indirme sayfasına yönlendirir. Kimlik avı siteleri ayrıca Windows ve Mac masaüstü bilgisayarlar için AnyDesk indirmeleri de sunarak kampanyanın erişim alanını daha da genişletiyor.