TrickMo, “bankacılık Truva Atı” olarak ortaya çıkan karmaşık bir kötü amaçlı yazılımdır ve bu kötü amaçlı yazılım, “mali kimlik bilgilerini” ve “kişisel bilgileri” çalmak için tasarlanmıştır.
Bunun yanı sıra, OTP’leri ve 2FA kodlarını çalarak finansal dolandırıcılığı kolaylaştırmak için Android cihazları hedef alma geçmişi de bulunuyor.
Zimperium’daki siber güvenlik araştırmacıları yakın zamanda TrickMo kötü amaçlı yazılımının kilit açma modellerini ve PIN’lerini çalmak için Android cihazlara aktif olarak saldırdığını keşfetti.
Cleafy yakın zamanda “TrickMo” Bankacılık Truva Atı’nın “zip dosyası manipülasyonu” ve “karartma” gibi gelişmiş kaçınma tekniklerini içeren yeni bir versiyonunu açıkladı.
Analyse Any Suspicious Files With ANY.RUN: Intergarte With You Security Team -> Try for Free
Araştırmacılar “40 yeni varyant”, “16 dropper” ve “22 aktif C2 sunucusu” tespit etti. Bu varyantlar çok sayıda yetenek sunar: –
- Tek Kullanımlık Şifre (OTP) müdahalesi
- Ekran kaydı
- Veri hırsızlığı
- Uzaktan kumanda
- Otomatik izin verme
- Erişilebilirlik hizmetinin kötüye kullanılması
- Yer paylaşımına dayalı kimlik bilgisi hırsızlığı
Sadece bu değilancak araştırmacılar aynı zamanda bazı değişkenlerin cihazları çalmasına olanak tanıyan “kilidini açma desenleri” veya “PIN’ler” gibi endişe verici yeni bir özellik de tespit etti.yanıltıcı bir kullanıcı arayüzü aracılığıyla.
Bu kullanıcı arayüzü, harici olarak barındırılan ve cihazın gerçek kilit açma ekranını taklit eden tam ekran modunda görüntülenen bir “HTML sayfasıdır”.
Kullanıcılar bu sayfaya kimlik bilgilerini girdiklerinde sayfa, yakalanan bilgileri (“Android Kimliği”) bir “PHP” betiğine aktarır.
Bu, tehdit aktörlerinin “çalınan kimlik bilgilerini” belirli cihazlara bağlamasına ve “kilitli” olsa bile potansiyel olarak bu cihazlara erişmesine olanak tanır.
Bu “gelişmiş yetenekler” ve “kötü amaçlı yazılımın tespitten kaçma yeteneği”, kullanıcıların “finansal güvenliği” ve “kişisel verileri” açısından güvenlik riskleri oluşturmaktadır.
Araştırmacılar, karmaşık bir “kötü amaçlı yazılım operasyonu” ile ilişkili birkaç “C2 sunucusunu” ortaya çıkardı.
Bu sunucular, yaklaşık “13.000 benzersiz kurban IP adresini” listeleyen dosyalar içeriyordu. Bu IP’lerin coğrafi konumu, kötü amaçlı yazılımın “birincil hedeflerini” ortaya çıkardı: –
- Kanada
- Birleşik Arap Emirlikleri
- Türkiye
- Almanya
Kötü amaçlı yazılım “yeni kimlik bilgilerini” sızdırdıkça C2 sunucuları kayıtlarını sürekli olarak günceller ve bu da “milyonlarca kaydın ele geçirilmesine” neden olur.
Bu veriler yalnızca “banka bilgilerini” değil aynı zamanda “Sanal Özel Ağlar (VPN’ler)” ve “dahili web siteleri” gibi “kurumsal kaynaklara ilişkin kimlik bilgilerini” de kapsamaktadır.
Kötü amaçlı yazılımın virüs bulaşmış cihazlar üzerindeki kapsamlı kontrolü ve geniş bir uygulama yelpazesini hedefleyebilme yeteneği, mobil cihazlar genellikle kuruluşlara yönelik siber saldırılar için birincil giriş noktası olarak hizmet ettiğinden, sağlam “mobil cihaz güvenliğinin” önemini vurgulamaktadır.
Proaktif koruma ve hafifletme önlemlerinin uygulanması, “veri ihlallerinin” ve “mali kayıpların” önlenmesi açısından çok önemlidir.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)