Tsarbot adlı yeni keşfedilen bir Android bankacılık kötü amaçlı yazılım, bankacılık, finans, kripto para birimi ve e-ticaret platformları dahil olmak üzere küresel olarak 750’den fazla uygulamayı hedefliyor.
Cyble Araştırma ve İstihbarat Laboratuarları (CRIL) tarafından tanımlanan Tsarbot, hassas kimlik bilgilerini kesmek ve hileli işlemleri yürütmek için sofistike kaplama saldırıları ve kimlik avı teknikleri kullanır.
Tsarbot, meşru finansal platformları taklit eden kimlik avı sitelerine yayılıyor.
Bu siteler, kötü amaçlı yazılımları hedeflenen cihazlara yükleyen Google Play hizmetleri olarak gizlenmiş bir damlalık dağıtır.
Tsarbot, yüklendikten sonra, meşru uygulamalar üzerinde sahte oturum açma sayfaları görüntüleyerek, kullanıcıları bankacılık kimlik bilgileri, kredi kartı ayrıntıları ve giriş şifreleri gibi hassas bilgileri girmeye kandırarak kaplama saldırıları kullanır.
Kötü amaçlı yazılım, cihaz üzerinde tam kontrol kazanmak için sahte kilit ekranı üzerinden cihaz kilit kimlik bilgilerini de yakalar. Kötü amaçlı yazılım, birden çok bağlantı noktasında WebSocket protokollerini kullanarak komut ve kontrol (C&C) sunucusuyla iletişim kurar.
Enfekte cihazın ekranını uzaktan kontrol etmek için komutlar alır, kaydırma, dokunma ve veri girme gibi kullanıcı eylemlerini simüle eder. Bu, saldırganların siyah bir kaplama ekranı kullanarak faaliyetlerini gizlerken hileli işlemler yürütmelerini sağlar.
Tsarbot’un teknik yetenekleri
Cril’e göre, Tsarbot kötü amaçlı işlemlerini geliştirmek için erişilebilirlik hizmetlerinden yararlanır. Ekranları kaydedebilir, SMS mesajlarını kesebilir ve hassas bilgileri toplamak için anahtarlık gerçekleştirebilir.
Kötü amaçlı yazılım, enfekte olmuş cihazdaki yüklü uygulamaları tanımlar ve bunları C&C sunucusundan alınan hedef listesine göre karşılaştırır. Bir eşleşme bulunursa, meşru uygulamaları taklit eden enjeksiyon sayfalarını alır ve kullanıcıları gizli ayrıntılar girmesini ister.
Ek olarak, Tsarbot, cihazın pimler veya desenler gibi kilit türünü tespit etmek için kilit yakalama tekniklerini kullanır ve bu kimlik bilgilerini yakalamak için sahte bir kilit ekranı yükler.
Kaplama saldırılarını ekran kaydı ve kilit yakalama ile birleştirerek Tsarbot, cihazdaki sahtekarlığı yüksek hassasiyetle yürütür.
Kötü amaçlı yazılım, Kuzey Amerika, Avrupa, Asya-Pasifik, Orta Doğu ve Avustralya gibi bölgelerde bankacılık uygulamalarını hedefleyen gözlemlenmiştir.
Finansal uygulamaların yanı sıra Tsarbot ayrıca sosyal medya platformlarını, e-ticaret sitelerini ve kripto para cüzdanlarını da hedefler. Yaygın erişimi, bankacılık Truva atlarının dijital manzarada ortaya koyduğu sürekli tehdidin altını çiziyor.
Koruma önerileri
Tsarbot ve benzer tehditlerle ilişkili riskleri azaltmak için:
- Uygulamaları yalnızca Google Play gibi resmi mağazalardan indirin.
- Android cihazlarda Google Play Protect’i etkinleştirin.
- E -postalardaki veya SMS mesajlarındaki şüpheli bağlantıları tıklamaktan kaçının.
- Güçlü şifreler ve çok faktörlü kimlik doğrulama kullanın.
- İşletim sistemlerini ve uygulamalarını düzenli olarak güncelleyin.
Tsarbot, erişilebilirlik özelliklerinden ve hassas finansal verileri hedeflemek için kaplama saldırılarından yararlanarak Android kötü amaçlı yazılım taktiklerinde önemli bir evrimi temsil eder.
Birden fazla sektörden ödün verme yeteneği, kimlik avı kampanyalarına ve ileri mobil tehditlere karşı artan uyanıklık ihtiyacını vurgulamaktadır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free