Dolandırıcılık Yönetimi ve Siber Suçlar, Sosyal Mühendislik
Arkadaşlık veya Devlet Uygulaması Olarak Gizlenmiş Android Bankacılık Truva Atı
Prajeet Nair (@prajeetspeaks) •
30 Ağustos 2023
Bilgisayar korsanları, başta Güneydoğu Asya olmak üzere, güvenliği ihlal edilmiş cihazlardan bankacılık oturum açma verilerini çalmak için alışılmadık bir iletişim yöntemi kullanarak yeni Android kötü amaçlı yazılımları kullanıyor.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Günümüzün Tehditlerine Karşı Savunma
Trend Micro araştırmacıları Salı günü yayınlanan bir raporda Truva Atı MMRat’ı aradı ve bunun Haziran sonundan bu yana aktif olduğunu söyledi. Büyük miktarlarda çalınan veriyi komuta ve kontrol sunucularına yüklemek için Protokol Tamponları olarak bilinen bir veri formatını kullanır. Daha yaygın olarak Protobuf olarak bilinen açık kaynak veri formatı, Android bankacılık Truva Atlarında nadiren görülen, yapılandırılmış verileri serileştirmeye yönelik bir yöntemdir.
MMRat, bir keylogger gibi yeteneklerle donatılmıştır ve “banka dolandırıcılığı gerçekleştirmek için kurban cihazlarını da uzaktan kontrol edebilir.”
Kullanıcılar, kötü amaçlı yazılımı, Vietnamca ve Tay dili de dahil olmak üzere dilleri konuşanları hedef alan, uygulama mağazası görünümündeki kimlik avı web sitelerinden indiriyor. Truva atı, flört veya resmi hükümet uygulaması olarak gizleniyor.
MMRat, sinyal gücü, ekranın kilitli olup olmadığı, pil durumu, kullanıcı kişileri ve yüklü uygulama özellikleri gibi farklı cihaz bilgilerini ve kişisel bilgileri toplar.
Kötü Amaçlı Yazılım Operasyonu
Kötü amaçlı yazılım kurbanın cihazına yüklendikten ve kurbanlardan gerekli uygulama izinleri alındıktan sonra Truva atı, cihazlardan toplanan büyük miktarda veriyi göndermeye başlamak için uzak bir sunucuyla iletişim kurar.
Banka dolandırıcılığı gerçekleştirdikten sonra MMRat, kötü amaçlı yazılımın tüm izlerini sistemden kaldırmak için kendini kaldırır. Araştırmacılar, kötü amaçlı yazılımın düzgün çalışabilmesi için büyük ölçüde Android Erişilebilirlik hizmetine ve MediaProjection API’ye güvendiğini söylüyor.
Android Erişilebilirliği, saldırganların kullanıcı girdilerini ve eylemlerini yakalamasına olanak tanır. Araştırmacılar, “Kurbanın yalnızca banka uygulamalarını kullanırken anahtarları kaydetmesi gibi belirli senaryolara odaklanan diğer tuş kaydetme kötü amaçlı yazılımlarının aksine, MMRat kullanıcılar tarafından gerçekleştirilen her eylemi günlüğe kaydediyor ve bunları C2 kanalı aracılığıyla sunucuya yüklüyor” diyor.
Kötü amaçlı yazılım, MediaProjection API’yi kullanmak için rtmp-rtsp-stream-client-java adı verilen açık kaynaklı bir çerçeveyi kötüye kullanıyor ve video verilerini uzak sunucuya aktarıyor.
Bu, ekranın kaydedilmesine ve gerçek zamanlı video verilerinin Gerçek Zamanlı Akış Protokolü aracılığıyla uzak bir sunucuya aktarılmasına olanak tanır. Aldıktan sonra media_stream komutuyla, kötü amaçlı yazılım iki tür veriyi kaydedebilir: ekran ve kamera verileri.