Tehdit aktörleri, Google’ın Android 13 ve sonraki sürümlerde tanıtılan katı erişilebilirlik kısıtlamalarına başarılı bir şekilde adapte oldular.
Mayıs 2022’de piyasaya sürülen bu önlemler, kötü amaçlı uygulamaların yan yüklü uygulamalar için bu erişimi engelleyerek erişilebilirlik hizmetlerini kötüye kullanmasını önlemek için tasarlanmıştır.
Bununla birlikte, siber suçlular, bu korumaları atlamanın yollarını bulmuş ve kötü niyetli yükleri endişe verici verimlilikle dağıtmak için sofistike kötü amaçlı yazılım yükleyicileri ve oturum tabanlı paket montajcılarını kullanmıştır.
.png
)
2024 boyunca gözlemlenen bu eğilim, mobil cihaz güvenliği ve kullanıcı veri koruması için önemli etkileri olan güvenlik geliştiricileri ve saldırganlar arasında kalıcı bir silah yarışına işaret ediyor.
Yenilikçi Bypass
Bu devam eden tehdit manzarasındaki göze çarpan araçlardan biri, Hook, Tgtoxic ve Trickmo gibi Android bankacılık truva atanlarının operatörleri arasında tercih edilen bir mekanizma haline gelen oturum tabanlı bir yükleyici olan Tiramisudropper.
Intel471 raporuna göre, bu yükleyici saldırganların Google’ın kısıtlamalarını ortadan kaldırmasını sağlayarak kötü amaçlı yazılımların hassas verileri toplamak ve yetkisiz eylemler yürütmek için erişilebilirlik özelliklerini kullanabilmesini sağlar.
Buna ek olarak, Nisan 2024’te, Samedit_Marais veya Baronsamedit olarak bilinen bir aktör, istismar siber suç forumundaki Brokewell Android yükleyicisinin kaynak kodunu halka açık bir şekilde paylaştı.
Özellikle Android 13+ erişilebilirlik savunmalarından kaçacak şekilde tasarlanmış bu yükleyici, diğer geliştiricilerin benzer yetenekleri kötü amaçlı yazılımlarına entegre etmeleri için bariyeri düşürdü.
Bu tür araçların kamuya açık olması, yalnızca yaygın benimseme riskini arttırmakla kalmaz, aynı zamanda tiramisudropper gibi özel “hizmet olarak damlalık” modellerinde potansiyel bir düşüşe işaret eder, bu da erişilebilir bypass tekniklerinin bu doygunluğu nedeniyle pazar yeniden yapılandırmasını öngörür.
Tiramisudropper ve Brokewell Yükleyicilerin Yükselişi
Bu yükleyicilerin sonuçları, gizli sanal ağ hesaplama (HVNC), keyloglama ve uzaktan kumanda işlevleri ile donatılmış kötü amaçlı yazılımlarda bir artışı kolaylaştırdıkları için derindir.
Sık güncellemeler ve kaynaklar talep eden geleneksel web enjektelerinden farklı olarak, bu daha kapsamlı yöntemler, enfekte olmuş cihazların gerçek zamanlı izlenmesini ve manipülasyonunu etkinleştirirken operasyonel yükü azaltır.
Saldırganlar genellikle sunucularında bir cihazın ekranını yeniden oluşturmak için HVNC’yi kullanır ve yetkisiz musluklar veya metin girişleri gibi yasadışı eylemleri maskelemek için aldatıcı arayüzleri kaplar.
Ayrıca, emek yoğun otomatik transfer sistemlerinden (ATSS) uzaktan ekran kontrolü yoluyla manuel cihaz içi sahtekarlığa geçiş, tehdit aktörleri tarafından stratejik bir pivotu vurgular ve karmaşık otomasyona göre sadeliği ve yüksek başarı oranlarını önceliklendirir.
Bu eğilim, Brokewell gibi yükleyicilerin sömürülmesi ile birleştiğinde, Android kötü amaçlı yazılım kampanyalarının gelişen sofistike olmasının altını çiziyor.
Sorunu birleştirmek, kancaya giren teknesiz siber yetersiz kalemlerde artışa neden olan Hook ve ERMAC gibi gelişmiş kötü amaçlı yazılımlar için sızdırılmış kaynak kodunun çoğalmasıdır.
Temmuz 2023’ten bu yana, Intel 471 GitHub’da sızdırılmış kanca kaynak kodu tanımladığında, en az dokuz kötü amaçlı yazılım varyantı ortaya çıktı ve 2014 ortasına kadar yeraltı pazarlarında bir düzineden fazla özelleştirilmiş kontrol paneli ortaya çıktı.
Bu erişilebilirlik, geri dönüştürülmüş veya fonksiyonel olmayan tekliflerin yaygınlığı nedeniyle deneyimli aktörler arasında sınırlı bir çekişle de olsa siber suçları demokratikleştirmiştir.
Android kötü amaçlı yazılım manzarası gelişmeye devam ettikçe, erişilebilirlik kısıtlamalarının atlatılması, bu uyarlanabilir düşmanların önünde kalmak için sağlam tehdit izleme ve sürekli istihbarat paylaşımı gerektiren kritik bir zorluk olmaya devam etmektedir.
Bu tür yükleyicilerin kötü amaçlı yazılımlara artan entegrasyonu, kullanıcıları giderek daha gizli ve yaygın tehditlerden korumak için gelişmiş güvenlik önlemlerine acil bir ihtiyaç olduğunu vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!