TrickMo adı verilen Android bankacılık truva atının yeni çeşitlerinin, bir cihazın kilit açma desenini veya PIN’ini çalmak için daha önce belgelenmemiş özellikleri barındırdığı tespit edildi.
Zimperium güvenlik araştırmacısı Aazim Yaswant geçen hafta yayınlanan bir analizde, “Bu yeni ekleme, tehdit aktörünün cihaz kilitliyken bile cihaz üzerinde çalışmasına olanak tanıyor.” dedi.
İlk kez 2019’da ortalıkta görülen TrickMo, adını TrickBot siber suç grubuyla olan ilişkisinden alıyor ve virüs bulaşmış cihazlar üzerinde uzaktan kontrol sağlamanın yanı sıra SMS tabanlı tek kullanımlık şifreleri (OTP’ler) çalabiliyor ve cihazlara yer paylaşımlı ekranlar gösterebiliyor. Android’in erişilebilirlik hizmetlerini kötüye kullanarak kimlik bilgilerini ele geçirin.
Geçtiğimiz ay, İtalyan siber güvenlik şirketi Cleafy, mobil kötü amaçlı yazılımın, analizden kaçınmak ve yetkisiz işlemler de dahil olmak üzere cihaz üzerinde çeşitli kötü amaçlı eylemler gerçekleştirmek için kendisine ek izinler vermek üzere geliştirilmiş mekanizmalara sahip güncellenmiş sürümlerini açıkladı.
Kötü amaçlı yazılımın yeni türlerinden bazıları, kurbana cihazın gerçek kilit açma ekranını taklit eden aldatıcı bir Kullanıcı Arayüzü (UI) sunarak cihazın kilit açma desenini veya PIN’ini toplayacak şekilde donatılmıştır.
Kullanıcı arayüzü, harici bir web sitesinde barındırılan ve tam ekran modunda görüntülenen, dolayısıyla yasal bir kilit açma ekranı olduğu izlenimini veren bir HTML sayfasıdır.
Şüphelenmeyen kullanıcıların kilit açma düzenini veya PIN kodunu girmeleri durumunda, benzersiz bir cihaz tanımlayıcısının yanı sıra bilgiler, saldırganın kontrol ettiği bir sunucuya (“android.ipgeo) iletilir.[.]at”) bir HTTP POST isteği biçimindedir.
Zimperium, C2 sunucuları için yeterli güvenlik korumasının bulunmamasının, bu sunucularda depolanan veri türleri hakkında fikir sahibi olmayı mümkün kıldığını söyledi. Bu, çoğu coğrafi olarak Kanada, BAE, Türkiye ve Almanya’da bulunan yaklaşık 13.000 benzersiz IP adresine sahip dosyaları içerir.
Yaswant, “Bu çalınan kimlik bilgileri yalnızca bankacılık bilgileriyle sınırlı değil, aynı zamanda VPN’ler ve dahili web siteleri gibi kurumsal kaynaklara erişim için kullanılanları da kapsıyor” dedi. “Bu, kuruluşlara yönelik siber saldırılar için birincil giriş noktası olarak hizmet edebildiklerinden, mobil cihazları korumanın kritik öneminin altını çiziyor.”
Dikkate değer bir başka husus da TrickMo’nun bankacılık, işletme, iş ve işe alım, e-ticaret, ticaret, sosyal medya, yayın ve eğlence, VPN, hükümet, eğitim, telekom ve sağlık hizmetleri gibi birden fazla kategoriyi kapsayan uygulamalardan veri toplayan geniş hedeflemesidir. .
Bu gelişme, mali dolandırıcılık yapmak için Cerberus’un bir çeşidini kullanan yeni bir ErrorFather Android bankacılık truva atı kampanyasının ortaya çıktığı bir dönemde gerçekleşti.
Broadcom’un sahibi olduğu Symantec, “ErrorFather’ın ortaya çıkışı, orijinal Cerberus kötü amaçlı yazılımının keşfedilmesinden yıllar sonra siber suçluların sızdırılan kaynak kodundan yararlanmaya devam etmesi nedeniyle, yeniden tasarlanmış kötü amaçlı yazılımların kalıcı tehlikesini vurgulamaktadır.” dedi.
Zscaler ThreatLabz’ın verilerine göre, bankacılık kötü amaçlı yazılımlarını içeren mali amaçlı mobil saldırılar, Haziran 2023 ile Nisan 2024 arasındaki dönemde bir önceki yıla kıyasla %29’luk bir artışa tanık oldu.
Hindistan, tüm saldırıların %28’ini gerçekleştirerek zaman dilimi içinde mobil saldırıların en büyük hedefi oldu ve onu ABD, Kanada, Güney Afrika, Hollanda, Meksika, Brezilya, Nijerya, Singapur ve Filipinler takip etti.