Uç Nokta Güvenliği, Nesnelerin İnterneti Güvenliği
Yeni Çeşitleri PIN’leri Çalıyor, 13.000’den Fazla Kullanıcıyı Etkiliyor ve Erişilebilirlik Özelliklerinden Yararlanıyor
Anviksha Daha Fazla (AnvikshaDevamı) •
16 Ekim 2024
Siber güvenlik araştırmacıları, TrickMo adı verilen Android bankacılık Truva Atı’nın yeni bir çeşidinin, kurbanları telefon kilit açma kodunu vermeleri konusunda kandırarak bilgisayar korsanlarının operasyonlarını sürdürmesine olanak tanıdığı konusunda uyarıyor.
Ayrıca bakınız: MDR Yönetici Raporu
Zymperium araştırmacıları, tek seferlik şifre müdahalesi, kimlik bilgileri hırsızlığı ve otomatik izin istismarı gibi özellikler içeren 40 TrickMo çeşidi belirledi. Araştırma, şu anda dolaşımda olan bazı varyantları kapsayan Cleafy’nin daha önceki analizlerine dayanıyor.
Cleafy, Eylül ayında, Google Chrome tarayıcısı kılığında bir damlalık yoluyla dağıtılan Truva atının arkasındaki operatörleri uyarmıştı. Kurulumdan sonra, kullanıcılara Google Play’i güncellemelerini isteyen bir uyarı mesajı görüntüler. Şirket, bir kullanıcının güncellemeyi onaylaması durumunda, TrickMo kötü amaçlı yazılımının “aldatıcı bir şekilde ‘Google Hizmetleri’ olarak adlandırılan ve Google Play Hizmetlerinin meşru bir örneği gibi görünen” bir uygulama olarak yüklendiğini yazdı.
“Kötü amaçlı yazılım, tuş korumalarını devre dışı bırakabilir ve izinleri otomatik olarak kabul edebilir, bu da cihazın işlemlerine sorunsuz bir şekilde entegre olmasını sağlar. Bu yetenekler, TrickMo’nun finansal dolandırıcılık yapmasına olanak tanıyarak, virüs bulaşmış cihazdan tespit edilmesini ve kaldırılmasını son derece zorlaştırır” dedi.
Zymperium, tek seferlik şifre ele geçirme, ekran kaydetme, veri sızdırma ve sahte ekranlar aracılığıyla kimlik bilgileri hırsızlığı gibi yeteneklere ek olarak, bazı TrickMo varyantlarının cihazın kilit açma desenini veya PIN’ini çalmak gibi “tehlikeli yeni bir yön” içerdiğini buldu.
Kötü amaçlı yazılım, kilit açma kodunu ele geçirmek için cihazın gerçek kilit açma ekranını taklit eden aldatıcı bir HTML kullanıcı arayüzü sunuyor. Tam ekran modunda görüntülendiğinden meşru bir ekrana benziyor. Zymperium, “Kullanıcı kilit açma desenini veya PIN’ini girdiğinde, sayfa, yakalanan PIN veya desen ayrıntılarını benzersiz bir cihaz tanımlayıcıyla (Android Kimliği) birlikte bir PHP betiğine iletir.” dedi.
Android’in erişilebilirlik hizmetlerinden – engelli kullanıcılar için mobil kullanımı kolaylaştırmayı amaçlayan ve aynı zamanda genişletilmiş izinler elde etmek için korsanların favori yolu olan ve sıklıkla kullanılan bir dizi API’den – yararlanarak, yetkisiz işlemler ve uzaktan kontrol elde etme gibi çeşitli kötü amaçlı eylemler gerçekleştirebilir. virüslü cihazlar.
Zymperium analizi, başta Kanada olmak üzere en az 13.000 kişinin Trickmo’dan etkilendiğini ve mağdurların Birleşik Arap Emirlikleri, Türkiye ve Almanya’da da bulunduğunu gösteriyor. Şirket, Truva Atı’nın komuta ve kontrol sunucularına erişim sağladığını açıkladı.
TrickMo’nun kapsamlı hedeflemesi, geniş bir uygulama yelpazesinden veri toplamayı içerir. Bunlar bankacılık, işletme, işe alım, e-ticaret, ticaret, sosyal medya, yayın ve eğlence, VPN, hükümet, eğitim, telekom ve sağlık hizmetleri gibi çeşitli kategorileri kapsamaktadır.