Telegram Messenger olarak maskelenen silahlı Android uygulamalarını dağıtmak için 607 kötü niyetli alandan yararlanan sofistike bir kötü amaçlı yazılım kampanyası ortaya çıktı.
Bu büyük ölçekli işlem, mobil kötü amaçlı yazılım dağılımında önemli bir artışı temsil eder ve dikkatle hazırlanmış kimlik avı altyapısı yoluyla birden fazla bölgedeki kullanıcıları hedefler.
Öncelikle Çin dilinde barındırılan kötü niyetli alanlar, şüphesiz kullanıcıları aldatmak için “teleqram”, “telgraf” ve “apktelegram” gibi varyasyonlarla yazım hatası teknikleri kullanır.
Saldırı vektörü, kurbanları Zifeiji’ye yönlendiren bu alanlarda barındırılan QR kodlarıyla başlar[.]Resmi görünümlü favicon, indirilebilir APK ve otantik tema stiliyle tamamlanan ikna edici bir şekilde tasarlanmış sahte bir telgraf web sitesi olan Asya.
.webp)
Bu merkezi yeniden yönlendirme mekanizması, saldırganların potansiyel kurbanlar için meşru görünürken dağıtım süreci üzerinde kontrolü sürdürmelerini sağlar.
60MB ila 70MB boyutu arasında değişen kötü amaçlı APK dosyaları, MD5 imzaları ACFF2BF000F2A53F7F02DEF2F105C196 ve EFDDC2DDDC849517A06B89095B34447 dahil olmak üzere karma değerlerle dağıtılır.
BFEA.AI analistleri, bu kampanyayı Precrime ™ Labs Tehdit Araştırma Bölümü aracılığıyla tanımladılar ve operasyonun birden fazla üst düzey alanda kapsamlı erişimini ortaya koydu.
En sık kullanılan alanlar.
Bu dağıtım stratejisi, operasyonel sürekliliği korurken kampanyanın yayından kaldırma çabalarına karşı esnekliğini en üst düzeye çıkarır.
Kötü amaçlı yazılımların teknik sofistike, Janus güvenlik açığından yararlanmasında, özellikle 5.0 ila 8.0 sürümlerini çalıştıran Android cihazları hedefliyor.
V1 imza şemalarını kullanarak kötü amaçlı APK, modern güvenlik kısıtlamalarını atlar ve savunmasız cihazlarda tespit edilmemiş çalışır.
Uzaktan komut yürütme mekanizması
Bu kötü amaçlı yazılımın en ilgili yönü, soket tabanlı geri arama yoluyla uzaktan komut yürütme yeteneklerini içerir.
Kötü niyetli uygulama, komut ve kontrol sunucuları ile kalıcı bağlantılar kurar ve gerçek zamanlı talimat alımı ve yürütme sağlar.
Bu işlevsellik, HTTP ve FTP de dahil olmak üzere Clear Metin Trafik Protokolleri ile birleştirilmiş MediaPlayer Invocation aracılığıyla, güvenli iletim standartlarını kasten atlayarak elde edilir.
Kötü amaçlı yazılım, Read_external_Storage ve Write_external_Storage dahil olmak üzere kapsamlı izinler talep ederek saldırganlara kullanıcı verilerine kapsamlı erişim sağlar.
Ayrıca, telegramt.net/static/js/ajs.js?v=3 adresinden barındırılan bir JavaScript izleme komut dosyası, bu zekayı DSZB77’ye ileterek cihaz bilgilerini ve tarayıcı verilerini toplar.[.]Analiz ve kullanıcı davranışı izleme için com.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi