Vultur olarak bilinen Android bankacılık truva atı, bir dizi yeni özellik ve iyileştirilmiş anti-analiz ve tespitten kaçınma teknikleriyle yeniden ortaya çıktı ve operatörlerinin bir mobil cihazla uzaktan etkileşime girmesine ve hassas verileri toplamasına olanak tanıdı.
NCC Grup araştırmacısı Joshua Kamp, “Vultur ayrıca C2 iletişimini şifreleyerek, anında şifresi çözülen birden fazla şifrelenmiş veri yükü kullanarak ve kötü niyetli eylemlerini gerçekleştirmek için meşru uygulama kisvesi kullanarak kötü niyetli faaliyetlerini gizlemeye başladı.” dedi. geçen hafta yayınlanan bir rapor.
Vultur, kötü amaçlı eylemlerini gerçekleştirmek için Android'in erişilebilirlik hizmetleri API'lerinden yararlanabilen kötü amaçlı yazılımla ilk kez 2021'in başlarında ortaya çıktı.
Kötü amaçlı yazılımın, Google Play Store'daki truva atı haline getirilmiş damlalık uygulamaları aracılığıyla dağıtıldığı, kimlik doğrulayıcı ve üretkenlik uygulamaları kılığına girerek farkında olmayan kullanıcıları yüklemeleri için kandırdığı gözlemlendi. Bu damlalık uygulamaları, Brunhilda adı verilen hizmet olarak damlalık (DaaS) işleminin bir parçası olarak sunulmaktadır.
NCC Group tarafından gözlemlendiği üzere diğer saldırı zincirleri, sonuçta kötü amaçlı yazılımın güncellenmiş bir sürümünü sunmak için SMS mesajları ve telefon çağrılarının bir kombinasyonu (telefon odaklı saldırı dağıtımı (TOAD) adı verilen bir teknik) kullanılarak yayılan damlaları içerir.
Kamp, “İlk SMS mesajı kurbanı bir telefon görüşmesine yönlendiriyor” dedi. Kurban numarayı aradığında dolandırıcı, kurbana, damlatıcının bağlantısını içeren ikinci bir SMS gönderir: bu SMS'in değiştirilmiş bir versiyonu [legitimate] McAfee Security uygulaması.”
İlk SMS mesajı, alıcılara, büyük miktarda para içeren, var olmayan bir işlemi yetkilendirmek için bir numarayı aramaları talimatını vererek sahte bir aciliyet duygusu uyandırmayı amaçlıyor.
Kurulumun ardından kötü amaçlı yazılım, botu C2 sunucusuna kaydeden, AlphaVNC ve ngrok aracılığıyla uzaktan erişim için erişilebilirlik hizmetleri izinlerini alan ve C2 sunucusundan getirilen komutları çalıştıran üç ilgili veriyi (iki APK ve bir DEX dosyası) çalıştırıyor.
Vultur'un öne çıkan eklemelerinden biri, Android'in erişilebilirlik hizmetleri aracılığıyla tıklama, kaydırma ve kaydırma işlemlerinin yanı sıra dosyaları indirme, yükleme, silme, yükleme ve bulma dahil olmak üzere virüs bulaşmış cihazla uzaktan etkileşim kurma yeteneğidir.
Ayrıca kötü amaçlı yazılım, kurbanların önceden tanımlanmış bir uygulama listesiyle etkileşime girmesini önleyecek, durum çubuğunda özel bildirimler görüntüleyecek ve hatta kilit ekranı güvenlik önlemlerini atlamak için Tuş Korumasını devre dışı bırakacak şekilde donatılmıştır.
Kamp, “Vultur'un son gelişmeleri, virüslü cihazlar üzerinde uzaktan kontrolü en üst düzeye çıkarma yönünde bir odak kayması olduğunu gösterdi” dedi.
“Kaydırma, kaydırma hareketleri, tıklamalar, ses kontrolü, uygulamaların çalışmasını engelleme ve hatta dosya yöneticisi işlevselliğini birleştirme için komut verme yeteneği ile, birincil hedefin güvenliği ihlal edilmiş cihazlar üzerinde tam kontrol elde etmek olduğu açıktır.”
Bu gelişme, Team Cymru'nun Octo (aka Coper) Android bankacılık trojanının hizmet olarak kötü amaçlı yazılım operasyonuna geçişini ve bilgi hırsızlığı yapmak için diğer tehdit aktörlerine hizmet sunduğunu ortaya çıkarmasıyla ortaya çıktı.
Şirket, “Kötü amaçlı yazılım, tuş kaydı, SMS mesajlarının ve anlık bildirimlerin dinlenmesi ve cihazın ekranı üzerinde kontrol dahil olmak üzere çeşitli gelişmiş özellikler sunuyor” dedi.
“Sahte ekranlar veya kaplamalar görüntüleyerek şifreler ve oturum açma kimlik bilgileri gibi hassas bilgileri çalmak için çeşitli enjeksiyonlar kullanıyor. Ayrıca, cihazlara uzaktan erişim için VNC'den (Sanal Ağ Bilgi İşlem) yararlanıyor ve gözetim yeteneklerini geliştiriyor.”
Octo kampanyalarının başta Portekiz, İspanya, Türkiye ve ABD olmak üzere 45.000 cihazı ele geçirdiği tahmin ediliyor. Diğer kurbanlardan bazıları Fransa, Hollanda, Kanada, Hindistan ve Japonya'da bulunuyor.
Bulgular aynı zamanda Hindistan'daki Android kullanıcılarını hedef alan ve çevrimiçi rezervasyon, faturalandırma ve kurye hizmetleri gibi görünen kötü amaçlı APK paketlerini bir hizmet olarak kötü amaçlı yazılım (MaaS) teklifi aracılığıyla dağıtan yeni bir kampanyanın ortaya çıkmasını da takip ediyor.
Broadcom'un sahibi olduğu Symantec bir bültende, kötü amaçlı yazılımın “kurbanların cihazlarından bankacılık bilgilerinin, SMS mesajlarının ve diğer gizli bilgilerin çalınmasını hedeflediğini” söyledi.