Dolandırıcılık Yönetimi ve Siber Suçlar , Hizmet Olarak Kötü Amaçlı Yazılım , Sosyal Mühendislik
Gelişmiş Kötü Amaçlı Yazılım, Mobil Cihazlar Üzerinde Daha Fazla Kontrol Sağlıyor
Prajeet Nair (@prajeetspeaks) •
26 Eylül 2023
Android bankacılığı Trojan Xenomorph, kripto para cüzdanlarını ve çeşitli finans kurumlarını hedef alan yeni bir kampanyayla yeniden ortaya çıktı. Kötü amaçlı yazılım, bir yıldan fazla süredir aktif olarak Avrupa’daki kullanıcıları hedef alıyor ve şu anda ABD, Kanada, İspanya, İtalya, Portekiz ve Belçika’daki kurumlara odaklanmış durumda.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Xenomorph’u ilk olarak 2022’nin başlarında keşfeden Hollanda merkezli güvenlik araştırma firması ThreatFabric, İspanya ve Amerika Birleşik Devletleri’nde binlerce indirme sağlayan devam eden bir kampanyada Ağustos ayında güncellenmiş özelliklere sahip yeni Xenomorph örnekleri buldu.
Araştırmacılar, kötü amaçlı yazılım ailelerinin, Octo, Hydra ve Hook gibi en çok dağıtılan hizmet olarak kötü amaçlı yazılım aileleri ve Anatsa gibi en kötü şöhretli özel olarak işletilen ailelerden bazıları da dahil olmak üzere hedef alanlarını Atlantik Okyanusu boyunca genişletmeye başladığını söyledi. “Cihaz ele geçirme yetenekleri” sunan kötü amaçlı yazılımlar, suçluların farklı pazarlar arasında dolaşmasını ve çok az altyapıya ihtiyaç duyarak veya hiç altyapı gerektirmeden dolandırıcılık yapmasını her zamankinden daha kolay hale getirdi.
Xenomorph Truva Atı 2022’de 56 Avrupa bankasını hedef aldı ve Alien Truva Atı ailesiyle bağlantılı. Google Play Store’da 50.000’den fazla kötü amaçlı uygulama yüklemesi olduğu tespit edildi (bkz: Yabancı Kötü Amaçlı Yazılım Varyantının Hedeflediği Kripto Para Cüzdanları).
ThreatFabric araştırmacıları, kampanyanın dağıtım yönteminin Chrome güncellemesi gibi görünen kimlik avı sayfaları içerdiğini söyledi.
Araştırmacılar, Google Chrome tarayıcısı veya Google Play Store güncellemelerinin mağdurların şüphelerini artırma olasılığının daha düşük olduğunu ve bu güncellemelerin cihazlarına zaten yüklenmiş olma ihtimalinin yüksek olduğunu söyledi.
Kampanya ağırlıklı olarak İspanya’ya odaklanıyor; birkaç hafta içinde 3.000’den fazla indirme yapıldı ve bunu Amerika Birleşik Devletleri ve Portekiz’de 200’den fazla indirme izledi.
Kötü amaçlı yazılım aynı zamanda popüler bir kimlik bilgisi hırsızı olan RisePro hırsızı gibi masaüstü hırsızlarını da dağıtıyor.
Bu, bu kötü amaçlı yazılım türlerinin arkasındaki tehdit aktörleri arasında bir bağlantı olduğunu veya Xenomorph’un diğer kötü amaçlı yazılım aileleriyle çalışan tehdit aktörlerine resmi olarak MaaS olarak satıldığını gösterebilir.
Xenomorf Truva Atı Geliştirmeleri
Xenomorph yetenekleri, erişilebilirlik hizmetleri ayrıcalıkları tarafından sağlanan uzaktan erişim yetenekleri aracılığıyla elde edilen otomatik aktarım sistemi çerçevesi nedeniyle basit SMS manipülasyonundan tam cihaz kontrolüne kadar uzanır.
Araştırmacılar, çerçevenin kötü amaçlı yazılımın kullanılabilecek, işlem dizilerine zincirlenebilecek ve belirli koşullar karşılandığında tetiklenebilecek birçok eylemi gerçekleştirmesine olanak sağladığını söyledi.
Tehdit aktörleri bir dizi eylemi “modüller” olarak adlandırır ve kötü amaçlı yazılımın en son yinelemesi, kötü amaçlı yazılıma yazma izni vererek veya uygulamaları kısıtlayarak pil tasarrufu sağlayan Doze modunu devre dışı bırakarak virüslü cihaz ayarlarını değiştirebilen geniş bir modül kümesi içerir. ‘ ağ ve CPU yoğun hizmetlere erişim.
Kötü amaçlı yazılım, saldırganın kontrol ettiği bir sunucuya iletilen kullanıcı adları, şifreler ve kredi kartı numaraları gibi kişisel olarak tanımlanabilir bilgileri elde etmek için katmanlar kullanır.
Bu katmanlar ayrıca Xenomorph ve AES’e özgü bir algoritma kombinasyonu kullanılarak şifrelenir. Şifresi çözüldükten sonra kaplama, hedeflenen uygulamalar için oturum açma sayfaları görevi görür.
Araştırmacılar tarafından gözlemlenen son kampanyada, kötü amaçlı yazılım, Amerika Birleşik Devletleri’ndeki çok sayıda finans kurumunu ve birden fazla kripto cüzdan uygulamasını hedef alarak, analiz edilen örnek başına toplam 100’den fazla farklı hedefi hedef aldı. Her örnek, kurbanın virüslü cihazından kişisel bilgileri çalmak için özel olarak hazırlanmış bir katman kullandı.
Kötü amaçlı yazılımın en son sürümü, MIUI’nin Xiaomi için veya One UI’nin Samsung için kullanıldığı gibi, Android Açık Kaynak Projelerini temel alan belirli mobil kullanıcı arayüzleri için hassas eylemlere ayrılmış birden fazla modül de içeriyordu.
Araştırmacılar, “Bu gerekli çünkü farklı kullanıcı arayüzleri, Doze modunu devre dışı bırakmak gibi belirli eylemleri gerçekleştirmek için benzersiz bir işlem sırası gerektiriyor” dedi.
Ayrıca, Xenomorph kötü amaçlı yazılımını kullanan tehdit aktörlerinin bir karar algoritmasının akışını yeniden oluşturmasına ve koşullu kontroller ve döngüler gerçekleştirmesine olanak tanıyarak esnekliği büyük ölçüde artırır.
Güncellenen Özellikler
- Uyku Önleme Özelliği: Bu, tehdit aktörlerinin virüslü cihazın uyku moduna geçmesini engellemesini sağlar. Kötü amaçlı yazılım, cihazı uyanık tutan ve uyku moduna geçmesini engelleyen aktif bir bildirimi sürdürür.
- ‘Mimik’ Özelliği: Bu, tehdit aktörlerinin herhangi bir başka uygulama gibi hareket etmesini sağlar ve genellikle kötü amaçlı yazılımlarla ilişkilendirilen bir davranışı kaldırarak uygulamanın daha meşru görünmesini sağlar. Ayrıca meşru bir web sitesini görüntülemek için web Görünümü olarak kullanılan IDLEActivity adlı bir etkinliği de içerir.
- ClickOnPoint Özelliği: Bu, tehdit aktörlerine belirli koordinatlarda basit bir dokunuşu simüle etme yeteneği vererek, tam bir ATS modülü oluşturmaya gerek kalmadan küçük eylemler gerçekleştirmelerine olanak tanır.