Son aylarda, güvenlik ekipleri, son derece çok yönlü bir Android arka kapı, Android.backdoor.916.origin, meşru bir antivirüs uygulaması olarak maskelenmeyi gözlemlediler.
“Guardcb” kisvesi altında özel mesajlaşma hizmetleri aracılığıyla dağıtılan simgesi, Rusya Federasyonu Merkez Bankası’nın amblemini bir kalkan arka planına karşı yakından taklit ediyor.
.webp)
Arayüz sadece Rus dil istemlerini gösterse de, bu kötü amaçlı yazılım Rus işletme yöneticilerine karşı hedeflenen kampanyalarda konuşlandırıldı ve hassas kurumsal iletişim ve kişisel verileri çıkardı.
Kurulum üzerine, sahte antivirüs, bir ve üç hayali tehdit arasında rastgele “tespit ederek” sistem taramalarını simüle eder, algılama oranları artmakla birlikte, bir cihaz daha uzun sürmez, ancak asla yüzde 30’luk olmasa da.
Bu aldatıcı davranış, kurbanları uygulamanın gerçek bir koruma sağladığına inanmaya devam eder.
Bu kaplamanın altında, arka kapı sessizce uzun süreli izinler listesi ister.
.webp)
Dr.Web araştırmacıları, bu izinler verildikten sonra, kötü amaçlı yazılımın, her dakika kendi kendini izleyen birden fazla kalıcı hizmet başlattığını ve gerektiğinde komut ve kontrol (C2) altyapısına yeniden bağlandığını belirtti.
Ayrı C2 bağlantı noktaları aracılığıyla operatörler çağrı günlüklerini, SMS trafiğini, iletişim listelerini ve coğrafi konum verilerini hasat edebilir; Akış mikrofon ses, kamera videosu veya cihaz ekran yakalamaları; Sifon depolanmış görüntüler; ve hatta keyfi kabuk komutlarını yürütmek.
Truva atı, erişilebilirlik hizmeti aracılığıyla kendini savunma rutinlerini değiştirme yeteneği, sahte sistem arayüzlerini kaplayarak veya kaldırma seçeneklerini devre dışı bırakarak kaldırma girişimlerini engellemesini sağlar.
Android.backdoor.916.origin’in sofistike olması, mevcut kampanyalarda yalnızca bir alt küme aktif olmasına rağmen, on beş farklı barındırma sağlayıcısını içerebilen dinamik konfigürasyonu ile vurgulanmaktadır.
Etki alanı kayıt memuru bildirimleri bazı yayından kaldırma başlattı, ancak C2 ağının katır benzeri esnekliği savunucuları hayal kırıklığına uğratmaya devam ediyor.
Android için Dr.Web Antivirüs, bilinen varyantları başarıyla tespit eder ve kaldırır, ancak bu saldırıların özel doğası, yönetici çevreler arasındaki artan uyanıklığın gerekliliğinin altını çizer.
Enfeksiyon mekanizması ve kalıcılık
Android.BackDoor.916.origin, yazılım güvenlik açıklarından yararlanmadan ziyade sosyal mühendislik ve yan yükleme için tasarlanmış bir enfeksiyon mekanizması kullanır.
.webp)
Mağdurlar, şifreli haberci iş parçacıkları aracılığıyla “Guardcb.apk” olarak gizlenmiş kötü niyetli bir APK dosyası alır. Yürütüldükten sonra, uygulamanın Manifest’i, aşağıdaki snippet’te gösterildiği gibi arka plan hizmetlerini ve erişilebilirlik hizmetini kaydeder:-
Erişilebilirlik API’sını kötüye kullanarak, kötü amaçlı yazılım, tuş vuruşu günlüğü ve uygulama içi veri müdahalesi özelliklerini kazanır ve kuvvet stop veya cihaz yeniden başlatma dizilerinden sonra bile kalıcı varlığı sağlar.
Sürekli sağlık kontrolleri ve otomatik hizmet yeniden başlatır, arka kapağın aktif kaldığını garanti eder, manuel olarak kaldırılana kadar verileri sessizce toplar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.