TrickMo Bankacılık Truva Atı varyantının yakın zamanda Cleafy tarafından keşfedilmesi, araştırmacıların bu tehditle ilişkili 40 varyant, 16 dropper ve 22 aktif Komuta ve Kontrol sunucusu tespit ettiği daha ileri araştırmalara yol açtı.
Bu varyantlar, tespit edilmekten kaçınmak için zip dosyası manipülasyonu ve gizleme gibi gelişmiş teknikler kullanır.
IOC’nin yayımlanmamasına rağmen analiz, birçok örneğin daha geniş güvenlik topluluğu tarafından tespit edilmediğini ortaya koyuyor.
Analyse Any Suspicious Files With ANY.RUN: Intergarte With You Security Team -> Try for Free
OTP müdahalesi, ekran kaydı, veri sızdırma, uzaktan kontrol ve yer paylaşımlı görüntüleme gibi yeteneklere sahip olup, kullanıcıların finansal güvenliği ve gizliliği için önemli bir tehdit oluşturan, güvenliği ihlal edilmiş cihazlardan hassas bilgilere etkili bir şekilde erişmelerine ve bu bilgileri çalmalarına olanak tanır.
Kötü amaçlı yazılım, cihazın gerçek kilit açma ekranını taklit eden aldatıcı bir kullanıcı arayüzü sunarak kullanıcıları PIN’lerini veya desenlerini girmeleri için kandırıyor; burada yakalanan bu bilgiler, cihazın benzersiz Android kimliğiyle birlikte uzaktaki bir PHP komut dosyasına aktarılıyor.
Android Kimliği, WebView’in “getAndroidID” yöntemi kullanılarak elde ediliyor; bu yöntem, saldırganın çalınan kimlik bilgilerini belirli kurbanın cihazıyla ilişkilendirmesine olanak tanıyor ve böylece kilitliyken bile cihazın kilidini açmasına ve cihazı kontrol etmesine olanak tanıyor.
Güvenliği ihlal edilen C2 sunucularının analizi, kötü amaçlı yazılım kurbanlarına ait önemli sayıda benzersiz IP adresini ortaya çıkardı; bunlar, Kanada, Birleşik Arap Emirlikleri, Türkiye ve Almanya dahil olmak üzere kötü amaçlı yazılımın birincil hedeflerini belirlemek için coğrafi olarak konumlandırıldı.
Yeni C2 sunucularında veri sızıntısı sorunları olmamasına rağmen, IP listesi dosyasının, banka bilgileri ve kurumsal kaynaklara yönelik kimlik bilgileri de dahil olmak üzere, sızdırılmış kimlik bilgileriyle düzenli olarak güncellendiği keşfedildi.
Siber saldırılar için giriş noktaları olarak mobil cihazların güvenlik açığını vurgularken, Zimperium tarafından çıkarılan veriler üzerinde yapılan analiz, çeşitli kategorileri kapsayan çok çeşitli hedeflenen uygulamaları belirledi.
Kötü amaçlı yazılım, yetkisiz erişim elde etmek, cihazda varlığını sürdürmek, savunmalardan kaçmak, kimlik bilgilerini çalmak, sistem bilgilerini keşfetmek, hassas verileri toplamak ve cihazı komuta ve kontrol kanalları aracılığıyla kontrol etmek dahil olmak üzere çok çeşitli kötü amaçlı davranışlar sergiler.
Kimlik avı, önyükleme komut dosyaları, yayın alıcıları, bildirimlerin kötüye kullanılması, kod indirme, gizleme, tuş kaydetme, panoya veri çıkarma, OTP çalma, dosya ve dizin keşfetme, ses ve ekran yakalama, SMS manipülasyonu ve alternatif protokoller üzerinden sızma gibi çeşitli teknikleri kullanır. hedeflerine ulaşmak.
Kötü amaçlı yazılımlar, aynı anda kötü amaçlı veriler enjekte ederek, SMS mesajlarını kontrol ederek ve hassas bilgileri çalarak kullanıcıları da etkileyebilir.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)