Cyble araştırmacıları, bankacılık, finans, kripto para birimi, ödeme, sosyal medya ve e-ticaret uygulamaları gibi 750’den fazla uygulamayı hedeflemek için bindirme saldırıları ve diğer teknikleri kullanan yeni bir Android bankacılık Truva atı keşfettiler.
Tehdit oyuncusunun Rus kökenli şüphesi nedeniyle “Tsarbot” olarak adlandırılan kötü amaçlı yazılım, kimlik bilgilerini çalmak için kaplama saldırıları kullanıyor ve ekranı kaydedebilir ve kontrol edebilir. Kötü amaçlı yazılımlar tarafından kullanılan diğer saldırı teknikleri arasında kilit-yakalama, anahtarlama ve SMS mesajlarını ele geçirme bulunmaktadır. Erişilebilirlik hizmetlerinin ve WebSocket iletişimlerinin kötüye kullanılması, kötü amaçlı yazılımların düşük profilli bir sürdürmesine yardımcı olur.
Tsarbot kimlik avı sitelerine yayıldı
Tsarbot, resmi foton sol jeton keşfi ve ticaret sitesini taklit eden bir kimlik avı alanından yayıldığı gözlendi.
Cyble, “Kimlik avı sitesi, ticarete başlamak için bir uygulamanın aldatıcı bir şekilde bir indirme seçeneği sunarken, meşru web sitesi böyle bir seçenekten yoksundur” dedi.
Tsarbot’u konuşlandıran üç kimlik avı sitesi, Solphoton da dahil olmak üzere araştırmacılar tarafından tanımlandı.[.]IO, Solphoton[.]Uygulama ve Cashraven[.]çevrimiçi.
Kimlik avı siteleri, Tsarbot APK dosyasını, implant.apk’ı “Res/Raw” klasöründe depolayan bir damlalık uygulaması sunar ve cihaza Tsarbot kötü amaçlı yazılımları dağıtmak için oturum tabanlı bir paket yükleyici kullanır.
Dağıtımdan sonra Tsarbot, kullanıcıyı 9001, 9002, 9004 ve 9030 bağlantı noktalarını kullanarak komut ve kontrol (C&C) sunucusu ile bir soket bağlantısı oluşturan erişilebilirlik hizmetlerini etkinleştirmesini sağlayan sahte bir Google Play Hizmet Güncelleme sayfası sunar.
Cyble araştırmacıları, “Erişilebilirlik hizmetlerini ve WebSocket iletişimini kötüye kullanarak, düşük profilli bir sürdürürken cihazda sahtekarlık sağlıyor” diye yazdı.
Tsarbot eylemleri sahtekarlık, şifre hırsızlığı içerir
Cyble, Tsarbot’un sunucudan alabileceği yaklaşık 30 komutu belirledi, öncelikle cihazda sahtekarlık yapmak için ekran kontrolüne odaklandı.
Örneğin, “Request_capture” komutu, kullanıcıyı ekran yakalama izinlerini etkinleştirmesini ister.
Araştırmacılar, “Kötü amaçlı yazılım verildikten sonra, yakalanan ekran içeriğini 9002 numaralı bağlantı noktasında bir WebSocket bağlantısı aracılığıyla C&C sunucusuna aktararak ekran yakalama hizmetini başlatır” diye yazdı. “Ekran içeriğini yakalayarak ve sunucu tarafından verilen ekran kontrol komutlarını yürüterek Tsarbot, bu sahtekarlık etkinliğini siyah bir yer paylaşımı ekranıyla gizleyerek hedeflenen cihazda hileli işlemler yapabilir.”
Tsarbot’un LockTyPedetector özelliği, erişilebilirlik hizmetini kullanarak cihazın kilit türünü belirler. Cyble, “Tespit edildikten sonra, kilitleme türü durumunu kilitleme işlemlerinde gelecekte kullanma için kaydediyor” dedi.
Tsarbot ilk kez “user_present” eylemini aldığında, kilit türüne göre sahte bir kilit ekranı yükler ve kullanıcının kilit parolasını, pimini veya desenini yakalar.
Uygulamaları taklit etmek
Tsarbot, çoğu Fransa, Polonya, İngiltere, Hindistan, BAE ve Avustralya gibi ülkelerden bölgesel bankacılık uygulamalarına ait olan hedeflenen uygulama paketi adlarının bir listesini alır. Diğer paket adları e-ticaret, sosyal medya, mesajlaşma, kripto para birimi ve diğer uygulamalarla ilişkilidir.
Tsarbot, yüklü uygulamaları cihaza toplar ve bunları paket adlarıyla karşılaştırır ve “yer paylaşımı saldırıları için bir hedef liste tutar” dedi Cyble.
Cyble, “Enjeksiyon sayfası meşru bir uygulamayı taklit ederek kullanıcıları net bankacılık kimlik bilgileri, oturum açma detayları ve kredi kartı bilgileri gibi hassas bilgileri girmeye kandırıyor” dedi. “Çalınan hassas bilgileri ilettikten sonra Tsarbot, kaplamanın aynı uygulama için tekrar tetiklenmesini önlemek için hedeflenen uygulamanın paket adını listeden kaldırıyor.”
Cyble, kötü amaçlı yazılımın, yalnızca Google Play Store veya iOS App Store gibi resmi uygulama mağazalarından yazılım indirme gibi en iyi uygulamaların önemini eve getirdiğini söyledi; güçlü şifreler, çok faktörlü kimlik doğrulama ve biyometrik güvenlik kullanmak; Google Play Protect’i etkinleştirmek; ve SMS veya e -postalar yoluyla gönderilen bağlantıları açarken dikkatli olun.
Tam Cyble Blog, Uzlaşma Göstergeleri (IOC) ve MITER ATT & CK Technoques gibi ek ayrıntılar içerir.