Bankacılık zararlı yazılımı, finans kuruluşlarını ve müşterilerini hedef alan bir tür kötü amaçlı yazılımdır.
Android işletim sistemindeki güvenlik açıklarını kullanarak hassas kullanıcı bilgilerini çalmayı amaçlayan Android bankacılık kötü amaçlı yazılımlarında artış görülüyor.
Cleafy’nin Tehdit İstihbaratı ekibi yakın zamanda “TrickMo” adı verilen yeni bir Android bankacılık kötü amaçlı yazılımını keşfetti. Bu yazılımın, oturum açma kimlik bilgilerini çalmak için kullanıcılara aktif olarak saldırdığı tespit edildi.
Android Bankacılık Kötü Amaçlı Yazılım TrickMo
TrickMo, öncülü TrickBot’tan türetilen Android bankacılık zararlı yazılımının yeni bir çeşididir.
Algılanmaktan kaçınmak için geleneksel kodlayıcılar yerine, bozuk zip dosyaları, jsonpacker ve dropper uygulamaları gibi gelişmiş anti-analiz teknikleri kullanıyor.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Bu kötü amaçlı yazılımın dağıtımı, “Google Chrome” kılığına girmiş bir dropper kullanılarak yapılır ve yönetici kontrollerini onaylamak için Android Erişilebilirlik Hizmetleri’ni kullanır.
TrickMo zararlı yazılımı kurulduktan sonra, çevrimiçi bankacılık hizmetlerine ait tek seferlik şifreleri ele geçirebiliyor, ekran kayıtlarını tutabiliyor, tuş vuruşlarını kaydedebiliyor ve enfekte cihazlara uzaktan erişim sağlayabiliyor.
Post metodunu kullanarak C2 sunucusuyla veri alışverişinde bulunur ve cihaz bilgilerini JSON olarak /c uç noktasına gönderip komutları alır, Cleanfly raporunu okur.
TrickMo, hem sistem hem de yardımcı uygulamaları hedef alarak Erişilebilirlik Hizmeti aracılığıyla eylemleri otomatikleştirmek için bir Clicker yapılandırmasını (clicker.json) kullanır.
Yetenekleri arasında SMS engelleme, fotoğraf alma, ekran kaydı, uzaktan erişim ve kimlik bilgisi hırsızlığı için HTML bindirme saldırıları yer alıyor.
Kötü amaçlı yazılım varsayılan SMS uygulamasını değiştirebilir, yüklü uygulama listelerini alabilir ve cihazda tıklama ve hareketler gerçekleştirebilir.
TrickMo’nun C2 sunucusunun, günlükler, kimlik bilgileri ve fotoğraflar gibi sızdırılmış verileri tuttuğu, ancak herhangi bir kimlik doğrulamasının bulunmadığı ve kurbanları birden fazla tehdit aktörüne maruz bıraktığı tespit edildi.
TrickMo ilk olarak 2019 yılında CERT-Bund tarafından keşfedildi ve raporlandı. Clicker.json dosyasındaki özel dil ayarlarında görüldüğü gibi çoğunlukla Almanca dilini göz önünde bulundurarak Avrupa’daki Bankacılık uygulamalarını hedefliyorlar.
Cloud strife yükleyicisinin paket adının (dreammes.ross431.in) veya nasıl açıldığının (com.turkey.inner.Uactortrust) analizi, kötü amaçlı yazılımı gizlemek ve korumak için kullanılan çok gelişmiş yöntemleri ortaya koymaktadır.
Saldırı, Komuta ve Kontrol (C2) sunucusunun kötü yapılandırılması nedeniyle gerçekleşti ve bu da mağdurun 12 GB verisinin sızdırılmasına yol açtı.
Bazı C2 sunucu kritik uç noktaları, saldırıya uğramış cihazların IP adreslerini, işlem kayıtlarını ve Bankacılık ve Kripto Para Platformlarına yönelik saldırılarda kullanılan HTML belgelerini ifşa etti.
Çalınan kullanıcı adı ve şifrelerin yer aldığı CSV dosyalarının yanı sıra, hack’lenen cihazlardan alınan görüntüleri içeren ZIP dosyaları da bulunuyordu.
Özellikle bu sızıntı, TrickMo altyapısının yaratıcılarının taktiksel bir hatasını ortaya çıkarmakla kalmıyor, aynı zamanda bu sızıntının daha fazla suistimal edilme olasılığını da artırıyor.
Tehdit aktörleri bu bilgileri kullanarak birinin hesabına giriş yapabilir, kimlik hırsızlığı yapabilir ve son derece hedefli kimlik avı saldırıları gerçekleştirebilir.
Ortaya çıkan bilgiler, hem saldırı yüzeyini hem de olası fiziksel saldırı kaynaklarını içermekte olup, gelecekte bu tür olayların önlenmesi için veri güvenliği sistemlerinin güçlendirilmesine yönelik kapsamlı önlemler alınması gerektiğini ortaya koymaktadır.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin