Rusya merkezli tehdit aktörleri, Telegram tabanlı Hizmet Olarak Kötü Amaçlı Yazılım kanalları aracılığıyla “Fantasy Hub” adı verilen gelişmiş bir Android Uzaktan Erişim Truva Atı’nı aktif olarak dağıtıyor ve bu da mobil odaklı siber suçlarda önemli bir artışa işaret ediyor.
Fantasy Hub, gelişmiş kaçınma teknikleri, sosyal mühendislik taktikleri ve sistem düzeyinde derin erişimin tehlikeli bir birleşimini temsil ediyor.
Zimperium zLabs’taki güvenlik araştırmacıları, Android cihazlardan geniş ölçekte ödün vermek isteyen acemi saldırganların giriş engellerini azaltmak için tasarlanmış ücretli bir abonelik modeli altında çalışan bu casus yazılımın kapsamlı yeteneklerini belgeledi.
Kötü amaçlı yazılım, gelen bildirimleri yakalama, değiştirme ve silme yeteneğini korurken SMS mesajlarını, kişileri, arama kayıtlarını, resimleri ve videoları sızdırabilir.
Bu araç setini kullanan tehdit aktörleri, kimlik bilgilerini toplamak için meşru bankacılık uygulamaları gibi görünen özel kimlik avı pencereleri dağıtarak özellikle Alfa-Bank, PSB, Tbank ve Sber gibi finansal kurumları hedef aldı.
Fantasy Hub’ın operasyonel yapısı, Hizmet Olarak Kötü Amaçlı Yazılım platformlarının karmaşık siber suçları nasıl demokratikleştirdiğini gösteriyor.
Alıcılar, belirli bir sayfayı almak için kimliğine bürünmek istedikleri simgeyi, adı ve sayfayı seçebilirler.
Geliştirici, özel bir Telegram botu aracılığıyla kapsamlı belgeler, eğitici videolar ve otomatik abonelik yönetiminin yanı sıra kötü amaçlı yazılımın reklamını yapıyor.
Potansiyel alıcılar, kötü amaçlı yazılım oluşturucuya erişim sağlayan ve tehdit aktörlerinin belirli kurbanları hedef alan örnekleri özelleştirmesine ve dağıtmasına olanak tanıyan abonelik katmanlarını seçebilir.
Satıcı, sahte Google Play Store sayfaları oluşturma ve Android güvenlik kısıtlamalarını aşma konusunda ayrıntılı talimatlar bile veriyor ve meşruiyeti artırmak için uydurma incelemelerle tamamlanıyor.
Bu abonelik yaklaşımının, farklı teknik beceri düzeylerine sahip alıcıları çekmede oldukça etkili olduğu kanıtlandı.
Telegram botu, sezgisel bir arayüz aracılığıyla abonelik dönemlerini, cihaz atamalarını ve komut ve kontrol erişimini yönetir.
Tehdit aktörleri, seçtikleri APK dosyasını, dağıtımdan önce Fantasy Hub damlalığını otomatik olarak enjekte eden oluşturucuya yükler.
Bu otomasyon, finansal kurumlara ve kurumsal kullanıcılara yönelik koordineli saldırılar başlatmak için gereken teknik karmaşıklığı önemli ölçüde azaltır.
Kullanım Teknikleri
Fantasy Hub’ın teknik mimarisi, tespit mekanizmalarını ve güvenlik analizini atlatmak için tasarlanmış çok sayıda karmaşık kaçırma stratejisini içerir.
Kötü amaçlı yazılım, çalışma zamanında şifrelenmiş varlıklara erişen metamask_loader kitaplığının içine yerel bir damlalık yerleştirir.
Yürütme sırasında, sabit bir 36 baytlık anahtar modeli kullanan özel bir XOR tabanlı şifre çözme rutini, metadata.dat adlı bir dosyada saklanan yükün şifresini çözer ve bu dosya daha sonra gzip sıkıştırması kullanılarak sıkıştırılır.
Bu yaklaşım, gerçek yükü kurbanın cihazında çalışma zamanı yürütülünceye kadar şifreli tutarak statik göstergeleri önemli ölçüde azaltır.
Komut ve kontrol paneli, kalan abonelik süresi, çevrimiçi/çevrimdışı cihaz durumu ve cihaza özel bilgiler dahil olmak üzere çeşitli ayrıntıları görüntüler.
Tehlikeli bir yararlanma tekniği, varsayılan SMS işleyici rolünün kötüye kullanılmasını içerir. Ayrı kullanıcı onayı gerektiren bireysel çalışma zamanı izinlerinin aksine, SMS işleyici rolü olmak, tek bir yetkilendirme adımıyla SMS içeriğine, kişilere, kamera işlevlerine ve dosya erişimine birleşik erişim sağlar.
Gerçek Zamanlı Gözetim ve Finansal Hedefleme
Fantasy Hub, ayrı izinler gerektirmeden doğrudan komut ve kontrol sunucularına gerçek zamanlı ses ve video akışını sağlamak için WebRTC teknolojisinden yararlanır.
Damlalık, kullanıcının şüphesini azaltmak için bir Google Play Sistem Güncellemesi kılığına giriyor ve son örnekler, dinamik analiz ve korumalı alan ortamlarından kaçınmak için tasarlanmış kök algılama ve kurulum ortamı kontrollerini içeriyor.
Kötü amaçlı yazılım, cihazın uyku moduna girmesini önlemek için ince bir “Canlı yayın etkin” göstergesi görüntülüyor ve ardından yayın tamamlandıktan sonra kamera ve mikrofon erişimini sessizce devre dışı bırakıyor.
Kurbanlar bu kimlik avı arayüzleri aracılığıyla kimlik bilgilerini girdikten sonra, çalınan bilgiler anında saldırganın kontrolündeki sunuculara sızıyor.
Güvenliği ihlal edilmiş cihazları yöneten tehdit aktörleri, cihaz durumunu, kalan abonelik süresini ve marka, model, SIM yuvası atamaları ve son etkinlik zaman damgaları dahil olmak üzere kapsamlı cihaz bilgilerini görüntüleyen Rusça bir komuta ve kontrol paneline erişir.
Finansal hedefleme yetenekleri belki de kurumsal organizasyonlara ve bireysel tüketicilere yönelik en acil tehdidi temsil etmektedir.
Tehdit aktörleri, meşru bankacılık uygulamaları görünümüne bürünerek önceden oluşturulmuş kimlik avı pencereleri kullanıyor ve satıcı, PIN numaraları, şifreler ve kart ayrıntıları için tamamen özelleştirilebilir alanlara sahip özel pencerelerin nasıl oluşturulacağını gösteren eğitici videolar sağlıyor.
Fantasy Hub’ın ortaya çıkışı, özellikle kişisel ve kurumsal mobil kullanımın kesiştiği kendi cihazını getir ortamlarında, kapsamlı mobil tehdit savunma stratejilerine olan kritik ihtiyacın altını çiziyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.