Taze kötü niyetli Android Paket Kiti (APK) dosyaları dalgası, siber suçların en güvenilir gelir akışlarından ikisini bir araya getiriyor-tıkada reklam ve kimlik bilgisi hırsızlığı-Güneydoğu Asya, Latin Amerika ve Avrupa’nın bölümlerinde dolaşmaya başlayan tek, uyarlanabilir bir tehdit.
Sıradan oyunlar, görev ödülleri ve hatta meşru Chrome veya Facebook uygulamaları klonları olarak gizlenen kötü amaçlı yazılım, Google’ın dahili veteriner kontrollerini düzgün bir şekilde kaldıran ve “ücretsiz 5 $ 5 $” gibi sosyal mühendislik kancalarından yararlanan bir taktik olan Google Play’den Rogue yükleyicileri için uzaktan uzaklaşan kullanıcıları çekiyor.
APK bir kurbanın ahizesine girdikten sonra, uygulama derhal herhangi bir hafif oyun veya kupon uygulamasının ihtiyaç duyduğu şeyin ötesinde, kamera, kişiler, hesap yönetimi ve ön plan hizmetlerini çalıştırma yeteneği – aşırı bir izin buketi talep eder.
TrustWave SpiderLabs analistleri, bir Facebook-ADS temalı cazibesini izlerken kampanyayı tanımladı. fb20-11-en.apk Sahte bir alandan.
Telemetrileri, aynı altyapı hayranlarının, her biri ortak bir kod tabanından derlenmiş henüz bankaları, telekomları veya bahis platformlarını taklit etmek için düzenlenen düzinelerce varyant uygulama çıkardığını göstermektedir.
Kurbanlar iki kez vurulur. Ön planda, uygulama sessizce park edilmiş alanlar ve bağlı hunileri yükler, yeniden yönlendirme sayılarını şişirmek için muslukları ve kaydırmaları simüle eder, yeniden yönlendirme zincirinde açıkça görüntülenir.
.webp)
Arka planda, oturum açma sifon kullanıcı adları, şifreler ve bazen bir kerelik pim oluşturur ve bunları şifreli bir komut ve kontrol (C2) arka ucuna iletir.
Bu çift amaçlı mimari, analistler uyarıyor, operatörlerin yeniden satış veya daha sonraki hesap devralması için verileri sessizce toplarken, enfekte olmuş her cihaza hemen para kazanalım.
Kaputun altında küme, C2 haritasını elektronik kod kitap modunda AES ile şifrelenmiş bir Base64 dize olarak gönderen modüler bir yapılandırma sistemine dayanır.
Sabit kodlu bir anahtar-123456789mangofb– Doğrudan APK’ya gömülür, kötü amaçlı yazılımların yeni API yollarını anında çözmesini sağlar ve alanlar engellendiğinde altyapıyı döndürür.
Trustwave tarafından ayrıştırılan ilgili rutin, netlik için aşağıda çoğaltılmıştır:-
Cipher cipher = Cipher.getInstance("AES");
byte[] keyBytes = new byte[16];
System.arraycopy("123456789mangofb".getBytes(), 0, keyBytes, 0, 16);
SecretKeySpec keySpec = new SecretKeySpec(keyBytes, "AES");
cipher.init(Cipher.DECRYPT_MODE, keySpec);
byte[] decrypted = cipher.doFinal(Base64.decode(encryptedData, 0));Enfeksiyon mekanizması: yan yükten sessiz kontrole kadar
Kurulum, kullanıcıları benzer bir açılış sayfasına iten bir sosyal medya mesajı veya QR kodlu posteri ile başlar.
“Şimdi Başlat” düğmesine dokunmak, hemen bir APK indirme başlatır ve en önemlisi, dosya yolunu meşru görünümlü alt alanlarla harmanlayarak Android’in normal yükleme kaynak uyarısını bastırır apk.kodownapp.top.
Uygulandıktan sonra, uygulama açık kaynaktan yararlanır ApkSignatureKillerEx İkincil yükün greftine çerçeve (origin.apk) Orijinal imzayı geçersiz kılmadan kendi dizine girer ve işletim sisteminin güvenilir bir yükseltme olarak ele alınmasını garanti eder.
.webp)
İlk koşuda, 38.54.1.79:9086/#/entryAES sarılı yapılandırmayı alır ve ancak sonra reklam tıklatma otomasyonu veya kimlik bilgisi hasat modüllerini etkinleştirir ve çoğu kum havuzunun tespit için güvendiği davranışsal gürültüyü önemli ölçüde azaltır.
Zamanla kullanıcı anormal pil tahliyesini veya veri ani artışlarını fark eder, hem reklam geliri hem de taze kimlik bilgisi setleri, görünüşte zararsız bir alt alanın arkasına maskelenen bir geri dönüş “çarpışma-log” kanalı ile uzun süredir ortaya çıkmıştır.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.