Android bankacılık kötü amaçlı yazılımı Vultur'un, kötü amaçlı yazılım operatörünün kurbanın mobil cihazıyla uzaktan iletişim kurmasına olanak tanıyan yeni teknik özellikler içerdiği gözlemlendi.
Ek olarak Vultur, C2 iletişimini şifreleyerek, dinamik olarak şifresi çözülen çeşitli veriler kullanarak ve meşru program kisvesi altında kötü amaçlı faaliyetlerini yürüterek zararlı davranışlarının çoğunu gizlemeye başladı.
Vultur, öncelikle uzaktan kontrol ve keylogging için bankacılık uygulamalarını hedef alan, keylogging ve kurbanın cihazıyla ekran etkileşimi gibi yeteneklere sahip.
ThreatFabric, Vultur'u ilk kez Mart 2021'in sonlarında keşfetti. Geçmişte Vultur, kurbanın cihazında çalışan VNC sunucusuna uzaktan erişim sağlamak için iki saygın yazılım uygulaması olan ngrok ve AlphaVNC'den yararlandı.
Trustifi'nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Vultur, Google Play Store'da kötü amaçlı uygulamaları barındıran Brunhilda adlı bir damlalık çerçevesi kullanılarak dağıtıldı.
Fox-IT, Cyber Security News ile yaptığı paylaşımda “Yakın zamanda gerçekleşen bir kampanyada, Brunhilda damlası hem SMS hem de telefon görüşmesi kullanılarak hibrit bir saldırıyla yayılıyor” dedi.
“İlk SMS mesajı mağduru telefon görüşmesine yönlendiriyor. Kurban numarayı aradığında dolandırıcı, kurbana, McAfee Security uygulamasının değiştirilmiş bir sürümü olan damlalığın bağlantısını içeren ikinci bir SMS gönderir.
Vultur'un Yeni Teknik Özellikleri
- Dosyaları indirin, yükleyin, silin, yükleyin ve bulun;
- Virüslü cihazı Android Erişilebilirlik Hizmetlerini kullanarak kontrol edin (kaydırma, kaydırma hareketleri, tıklamalar, sesi kapatma/açma ve daha fazlasını gerçekleştirmek için komutlar gönderme);
- Uygulamaların çalışmasını engelleyin;
- Durum çubuğunda özel bir bildirim görüntüleyin;
- Kilit ekranı güvenlik önlemlerini atlamak için Tuş Korumasını devre dışı bırakın.
Vultur, tespit ve anti-analizden kaçınma yöntemlerini şu şekilde geliştirdi:
- Meşru uygulamaları değiştirmek (McAfee Security ve Android Accessibility Suite paket adının kullanılması);
- Yüklerin şifresini çözmek için yerel kodu kullanma;
- Kötü amaçlı kodun birden fazla veriye yayılması;
- C2 iletişimi için AES şifrelemesi ve Base64 kodlaması kullanılıyor.
İşin en ilginç yönü, kötü amaçlı yazılımın, güvenliği ihlal edilen cihaza uzaktan bağlanmak için Android'in erişilebilirlik hizmetlerini kullanabilmesidir.
Artık kötü amaçlı yazılım operatörü, kaydırma, tıklama ve kaydırma gibi hareketleri gerçekleştirmek için komutlar iletebilir.
“Dosya yöneticisi özelliği, dosyaları indirme, yükleme, silme, yükleme ve bulma yeteneğini içerir. Bu, aktörlere virüslü cihaz üzerinde daha fazla kontrol sağlamayı etkili bir şekilde sağlıyor”, dedi araştırmacılar.
Mağdurun cihazın uygulamalarıyla etkileşimde bulunmasının engellenmesi bir başka ilgi çekici yeni özelliktir. Bu işlevsellik, kötü amaçlı yazılım operatörünün, cihazda çalıştığının algılanması üzerine tekrar açılması gereken uygulamaların bir listesini belirlemesine olanak tanır.
Saldırı Zinciri
Tehdit aktörleri, iki SMS mesajı ve bir telefon görüşmesinden oluşan hibrit bir saldırı kullanarak masum kişileri kötü amaçlı yazılım yüklemeleri için kandırıyor.
Başlangıçta kurban, büyük parasal bir işlemi onaylamaması durumunda bir numarayı aramasını söyleyen bir SMS mesajı alır.
Bu işlem hiçbir zaman gerçekleşmemiş olmasına rağmen, mağdura bunun hemen gerçekleşmesi gerektiği izlenimini verir ve bu da onları harekete geçmeye yönlendirir.
Telefon görüşmesi sırasında kurbana, McAfee Security uygulamasının truva atı haline getirilmiş bir sürümünü yüklemek için bir bağlantıya tıklaması talimatını veren ikinci bir SMS gönderiliyor.
Bu program aslında McAfee Security uygulamasında görülen özelliklere sahip olduğu için kurbana zararsız görünen bir Brunhilda damlatıcısıdır.
Vultur ile ilgili üç verinin şifresi çözülür ve bu dropper tarafından yürütülür, böylece tehdit aktörlerine kurbanın mobil cihazı üzerinde tam kontrol sağlanır.
Yakın zamanda gönderilen Vultur örneklerini inceleyen uzmanlar, yeni özelliklerin birbiri ardına eklendiğini fark etti; bu da kötü amaçlı yazılımın daha güçlü hale gelmek için hala aktif olarak geliştirildiğini gösteriyor.
Bu bulgulara dayanarak Vultur'un yakında ek işlevlere kavuşacağı öngörülüyor.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.