Bir yıldan fazla bir süredir aktif olarak Avrupa’daki kullanıcıları hedef alan Xenomorph adlı karmaşık bir Android bankacılık Truva Atı’nın arkasındaki siber suçlular, yakın zamanda gözlerini iki düzineden fazla ABD bankasının müşterilerine dikti.
Tehdit aktörlerinin hedefinde olanlar arasında Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America ve Discover Mobile gibi büyük finans kuruluşlarının müşterileri yer alıyor. ThreatFabric’teki araştırmacılar tarafından analiz edilen kötü amaçlı yazılımın yeni örnekleri, bunun aynı zamanda Bitcoin, Binance ve Coinbase dahil olmak üzere birden fazla kripto cüzdanını hedefleyen ek özellikler de içerdiğini gösterdi.
Binlerce Android Kullanıcısı Etkilendi
Bu hafta yayınlanan bir raporda, Hollanda merkezli siber güvenlik sağlayıcısı, Ağustos ayından bu yana ABD ve İspanya’daki binlerce Android kullanıcısının sistemlerine kötü amaçlı yazılım indirdiğini söyledi.
ThreatFabric, “Xenomorph, aylar süren bir aradan sonra geri döndü ve bu sefer İspanya veya Kanada gibi bu ailenin tarihsel olarak ilgisini çeken bazı bölgeleri hedef alan dağıtım kampanyalarıyla ve ABD’den geniş bir hedef listesi ekleyerek geri döndü.” dedi. . Birlikte Android pazar payının yaklaşık %50’sini elinde bulunduran Samsung ve Xiaomi’nin Android cihazlarının kullanıcıları, tehdit aktörünün özel ilgi alanına giren hedefler gibi görünüyor.
Xenomorph gibi kötü amaçlı yazılımlar, özellikle Android kullanıcıları için mobil tehditlerin büyüyen ve giderek daha karmaşık hale gelen doğasını vurguluyor. Zimperium tarafından bu yılın başlarında yayınlanan bir araştırma, Android ortamındaki güvenlik açıklarının sayısının fazla olması nedeniyle tehdit aktörlerinin iOS’tan çok Android ile daha fazla ilgilendiğini gösterdi. Zimperium, Android uygulama geliştiricilerinin uygulama geliştirirken iOS geliştiricilerine göre daha fazla hata yapma eğiliminde olduğunu buldu.
Şu an için reklam yazılımları ve diğer olası istenmeyen uygulamalar Android kullanıcıları için en büyük tehdit olmaya devam ediyor. Ancak Xenomorph gibi bankacılık Truva atları bu cihazları giderek daha fazla tehlikeye atıyor. 2023’ün ilk çeyreğinde bankacılık Truva atlarının diğer tüm mobil tehditler içindeki payı, bir önceki çeyreğe göre %18’den yaklaşık %19’a yükseldi. Bunların arasında en dikkat çekenler arasında SpyNote.C, Hook, Malibot ve Triada gibi bankacılık bilgilerini çalma becerisine sahip uzaktan erişim Truva atları yer alıyordu.
Ksenomorf’a Uzaylı
ThreatFabric, Xenomorph hakkında ilk kez Şubat 2022’de Google’ın Play mobil uygulama mağazasında yasal uygulamalar ve yardımcı programlar gibi görünen bankacılık Truva Atı’nın tespit edilmesinin ardından rapor edildi. Bunlardan biri, dağınıklığı ortadan kaldırdığı ve pil ömrünü optimize ettiği iddia edilen ancak aynı zamanda 56 büyük Avrupa bankasının müşterilerine ait hesapların kimlik bilgilerini çalmaya çalışan “Fast Cleaner” uygulamasıydı. 50.000’den fazla Android kullanıcısı uygulamayı Android cihazlarına indirdi.
O zamanlar kötü amaçlı yazılım hâlâ aktif olarak geliştirilme aşamasındaydı. Pek çok özelliği arasında cihaz bilgilerinin toplanması, SMS mesajlarının ele geçirilmesi ve çevrimiçi hesapların ele geçirilmesine olanak sağlanması yer alıyordu. Şirket, Xenomorph’un geliştiricilerinin, Alien adı verilen başka bir güçlü Android uzaktan erişim Truva Atı’nın arkasındakilerle muhtemelen aynı olduğunu veya onlarla bir bağlantısı olduğunu değerlendirdi.
Araştırmacılar, 2022 analizlerinde diğer bankacılık kötü amaçlı yazılımları gibi Xenomorph’un da hedeflenen tüm bankaların hesap giriş sayfalarını taklit eden katmanlar içerdiğini buldu. Dolayısıyla, güvenliği ihlal edilmiş bir cihaza sahip bir Android kullanıcısı, hedef listedeki bankalardan herhangi birinde bir hesaba giriş yapmaya çalıştığında, kötü amaçlı yazılım, kullanıcı adlarını, şifreleri ve diğer hesap bilgilerini yakalamak için otomatik olarak o bankanın giriş sayfasının sahte bir sürümünü görüntüledi. Xenomorph ayrıca SMS mesajları yoluyla gönderilen iki faktörlü kimlik doğrulama belirteçlerinin ele geçirilmesi ve çalınması özelliklerini de destekleyerek saldırganlara çevrimiçi hesapları ele geçirme ve onlardan para çalma yolu sağladı.
Yeni kampanyaya Ağustos 2023’te girin: Bu son turda, tehdit aktörleri birincil kötü amaçlı yazılım dağıtım mekanizmalarını değiştirmiş görünüyor. Xenomorph’u Google Play’e kaçırmak yerine, kötü amaçlı yazılımın operatörleri artık onu kimlik avı Web sayfaları aracılığıyla dağıtıyor. Çoğu durumda bu sayfaların güvenilir Chrome tarayıcı güncelleme siteleri ve/veya Google Play mağazası web siteleri olduğu iddia edilir.
Xenomorph’un en yeni sürümünün dikkate değer yönlerinden biri, fonların ele geçirilmiş bir cihazdan saldırgan tarafından kontrol edilen bir cihaza otomatik olarak aktarılmasını sağlayan gelişmiş ve esnek Otomatik Transfer Sistemi (ATS) çerçevesidir. Xenomorph’un ATS motoru, tehdit aktörünün güvenliği ihlal edilmiş bir cihazın kontrolünü ele geçirmesine ve çeşitli kötü amaçlı eylemler gerçekleştirmesine olanak tanıyan birden fazla modül içerir.
Bunlar, kötü amaçlı yazılımın, güvenliği ihlal edilmiş bir cihazda engellenmeden çalışması için ihtiyaç duyduğu tüm izinleri kendisine vermesine olanak tanıyan modülleri içerir. Diğer özellikler, kötü amaçlı yazılımın ayarları devre dışı bırakmasına, güvenlik uyarılarını kapatmasına, cihaz sıfırlamalarını ve cihaz kaldırma işlemlerini durdurmasına ve belirli ayrıcalıkların iptal edilmesini engellemesine olanak tanır. Bunların çoğu ilk sürümlerde de mevcut olan işlevlerdir.
Yeni olan, kötü amaçlı yazılımın depoya yazmasına ve güvenliği ihlal edilmiş bir cihazın “uyku” moduna geçmesini engellemesine olanak tanıyan yeteneklerdir.
ThreatFabric, “Xenomorph, çok yönlü ve güçlü bir ATS motoruna sahip, birden fazla üreticinin cihazını destekleme fikriyle halihazırda oluşturulmuş birden fazla modüle sahip, son derece tehlikeli bir Android bankacılık kötü amaçlı yazılımı olma statüsünü koruyor.” dedi.