ThreatFabric’in son bulgularına göre, Android bankacılık truva atının Xenomorph adlı bir versiyonu, truva atının yeni bir çeşidi olarak vahşi doğada keşfedildi.
Birçoğu, mobil bankacılık dünyasına daha rafine ve profesyonel bir yaklaşım lehine temel yaklaşımları terk ettiğinden, mobil bankacılık son zamanlarda suçlulardan büyük ilgi görüyor.
Bu hafta, Xenomorph adlı Android kötü amaçlı yazılımının, Android cihazların kontrolünü ele geçirmek için kötü niyetli saldırılar gerçekleştirmek için kullanılabilecek bir dizi önemli yeni özellik içeren yeni bir sürümü yayınlandı.
Bunun yanı sıra, 400 bankanın kimlik bilgilerini çalma ve bankalar arasında para transferini otomatikleştirme yeteneğine de sahiptir.
Dağıtım Android Kötü Amaçlı Yazılım
Sonuç olarak, kullanıcılar karşılaştıkları tehditler nedeniyle Google Play mağazasından uygulama yüklerken dikkatli olmalıdır. Kullanıcılar, Google Play’den bir uygulama yüklemeden önce incelemeleri okumalı ve yayıncılar hakkında geçmiş kontrolleri yapmalıdır.
ThreatFabric, algılama yeteneklerinin bir sonucu olarak test kampanyalarıyla ilgili bazı örnekleri de tanımlayabildi.
Bu örnekler, üçüncü taraf barındırma hizmetleri, özellikle de örneklerin dağıtımını kötüye kullanmak için kullanılan Discord İçerik Dağıtım Ağı (CDN) kullanılarak elde edilmiş gibi görünmektedir.
GymDrop, Xenomorph’u müşterilerine 2022 yılının Şubat ayında dağıtmaya başladı ve ilk varyantlar kendilerine Mart ayında dağıtıldı. Yılın ilerleyen saatlerinde Hadoken, Zombinder’da karar kılmadan önce ilk BugDrop’u deneyerek dağıtım ortamlarını değiştirmeye karar verdi.
Xenomorph’un Yeni Hedefleri
Son birkaç yıldır Xenomorph, ilk ortaya çıkışından bu yana parolalar ve kullanıcı adları gibi PII’leri toplamak için yer paylaşımlı saldırılar kullanıyor.
Android Banking kötü amaçlı yazılım içeren bir MaaS kampanyası, onu yöneten tehdit aktörlerine ve kötü amaçlı yazılım varyantına bağlı olarak farklı hedeflere sahip olabilir.
2022 yılı boyunca nispeten istikrarlı bir konfigürasyon sürdüren Xenomorph’lar, 2022’deki saldırıları sırasında özellikle İspanya, Portekiz ve İtalya’yı hedef aldı.
Belçika ve Kanada kurumlarının yanı sıra en son kampanyalarla birlikte birkaç kripto para cüzdanının da tanıtıldığını belirtmekte fayda var.
Yetenekler
Bu saldırıya eklenen yeni özelliklerden birkaçı, onu birkaç yönden öncekinden farklı kılıyor. Son saldırıdan sonra uzmanlar, önceki saldırının son saldırıya kıyasla çok fazla özelliğe sahip olmadığı, bu nedenle önceki saldırının birçok yeni özelliğin eksik olduğu sonucuna vardılar.
Bu bölümde, tehdit aktörlerinin başlattıkları yeni saldırıda tanıttıkları tüm güncellenmiş yeteneklerin bir listesini bulacaksınız.
- app_start: Belirtilen Uygulamayı Başlat
- show_push: Push bildirimini göster
- cookie_handler: Tanımlama Bilgileri Elde Edin
- send_sms: SMS gönder
- make_ussd: USSD Kodunu Çalıştır
- call_forward: Aramayı Yönlendir
- execut_rum: ATS Modülünü çalıştırın
Bankaların, iki faktörlü kimlik doğrulama (2FA) için SMS yerine kimlik doğrulama uygulamalarını uygulamaya yönelik hareketinden yararlanmak amacıyla, Xenomorph truva atı, uygulamayı başlatmasına ve uygulamadan kimlik doğrulayıcı kodlarını çıkarmasına izin veren bir ATS modülü içerir.
Xenomorph’un halihazırda çok çeşitli yeteneklere sahip olan silah cephaneliğine çerez çalma yetenekleri de eklendi.
Telefonunuzun güvende olduğundan emin olmanın en iyi yolu, üzerinde çalışan uygulama sayısını olabildiğince düşük tutmak ve yalnızca güvenilir ve bilinen satıcıların uygulamalarını yüklemektir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin