Geleneksel bindirme saldırılarını, uzlaşmış cihazların tam uzaktan kumandasını elde etmek için gizli bir gizli sanal ağ bilgi işlem (VNC) sunucusuyla birleştiren yeni bir Android bankacılık Truva atı ortaya çıktı.
İlk olarak Eylül 2025’in sonlarında tespit edilen kötü amaçlı yazılım, kurbanları sahte bir “güvenlik” uygulaması kurmaya çeken SMS tabanlı kimlik avı kampanyaları aracılığıyla dağıtılır.
Gerekli izinleri verdikten sonra, Truva atı yükünü şifreler, statik algılamadan kaçınır ve kullanıcının başlatıcısı tarafından görünmez kalan bir arka plan VNC sunucusunu başlatır.
Cleafy analistleri, çeşitli Avrupa bankalarının mobil kullanıcılarından olağandışı ağ trafiğini gözlemledikten sonra kötü amaçlı yazılımları tanımladılar. Kurulum üzerine, Truva atı hemen cihaz performansını optimize etme kisvesi altında erişilebilirlik ve cihaz yöneticisi ayrıcalıkları ister.
.webp)
Bu izinler, dokunma girişini kesmesine, ekran bilgilerini yakalamasına ve meşru bankacılık uygulamalarında sahte bir şekilde sahtekarlık oluşturmasına izin verir.
Aynı zamanda, VNC modülü, tehdit aktörlerinin cihazı gerçek zamanlı olarak uzaktan görüntülemelerini ve manipüle etmesini sağlayan gizli bir çerçeve avcısını başlatır.
Yer paylaşımı tabanlı bankacılık Truva atları yıllardır varken, bu yeni gerginliğin başsız bir VNC sunucusunun entegrasyonu önemli bir yükselişi temsil ediyor.
Saldırganlar, yalnızca ekran kaplamalarına güvenmek yerine, cihaz arabirimini sanki ellerinde tutuyormuş gibi gezebilirler-uygulamaları açıyor, bir kerelik şifreler giriyor ve ek yükler yüklüyorlar.
.webp)
İlk vakalar, Truva atının tüm görsel göstergeleri bastırdığından ve kullanıcı etkileşimlerini meşru aktivite ile karıştırmak için günlüğe kaydettiğinden, mağdurların uzak oturumun farkında olmadıklarını göstermektedir.
Yerleştikten sonra, Truva atı çoklu kalıcılık taktikleri kullanır. Cihaz yeniden başlatmasında VNC hizmetini yeniden başlatmak için boot_completed için bir yayın alıcısını kaydeder ve ekran durumu değişikliklerini izlemek için erişilebilirlikService’e kancalar.
Kötü amaçlı yazılım ayrıca, gizli sistem API’lerini kullanarak, işlemlerini bozabilecek güncellemeleri veya taramaları önleyerek Google Play Protect’i devre dışı bırakır.
Bu savunma katmanları, uzaktan erişimin manuel olarak kaldırılana kadar aktif kalmasını sağlar-Truva’nın simgesini gizleme ve sistem düzeyinde adlar altında kamufle etme yeteneği ile karmaşık bir görev.
Enfeksiyon mekanizması
Enfeksiyon zinciri, “BankGuard.Apk” adlı truva atlı bir APK’ya indirme bağlantısı içeren aldatıcı bir SMS mesajı ile başlar.
Kullanıcı bu paketi yüklediğinde, iki kritik izin etkinleştirmeleri istenir: AccessibilityService ve Cihaz Yöneticisi.
Aşağıdaki snippet, Trojan’ın erişilebilirlik izin isteğini nasıl çağırdığını göstermektedir:-
Intent intent = new Intent(Settings.ACTION_ACCESSIBILITY_SETTINGS);
context.startActivity(intent);Kötü amaçlı yazılımlar, erişilebilirlik hizmetini programlı olarak kaydeder:-
Bu kancalar yerinde olduğunda, Truva atı VNC sunucusunu sessizce başlatır:-
VNCServer vnc = new VNCServer(context);
vnc.startServer(5900); // Standard VNC portBu başsız sunucu, framebuffer verilerini yakalar ve gelen uzaktan kumanda komutlarını dinler.
Saldırganlar, hazır VNC istemcilerini kullanarak bağlanır ve kurbanın cihazı üzerinde interaktif kontrol elde eder.
.webp)
Bu mekanizma sayesinde, Truva atı, UI enjeksiyonunu tamamen önleyerek geleneksel kaplama algılamasını atlar, bunun yerine uzak komutlar yoluyla gerçek dokunma emülasyonuna dayanır.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
