Siber Suçlar, Finans ve Bankacılık, Dolandırıcılık Yönetimi ve Siber Suçlar
Yeni Kötü Amaçlı Yazılım SoumniBot Meşru Android Sürecinden Yararlanıyor
Prajeet Nair (@prajeetspeaks) •
18 Nisan 2024
Yeni bir bankacılık Truva Atı, Android manifest dosyasını hedef alan, güvenlik açıklarından yararlanan ve Android uygulamalarının bu dosyayı yorumlama biçimindeki zayıf noktalardan yararlanan şaşırtma tekniklerini kullanarak Koreli kullanıcıları hedefliyor.
Ayrıca bakınız: Hükümette Bulut Akıllı mı Yoksa Önce Bulut mu Olmayı Tercih Edersiniz?
Badpack ve Hqwar gibi tipik kötü amaçlı yazılım düşürücülerin aksine, SoumniBot adı verilen yeni Android kötü amaçlı yazılım, kötü niyetli niyetini kamufle etmeye yönelik yenilikçi yaklaşımıyla öne çıkıyor.
Kaspersky’deki araştırmacılar, SoumniBot’un kaçınma stratejisinin sırrının, her Android uygulama paketinde bulunan çok önemli bir bileşen olan Android bildirimini manipüle etme yeteneği olduğunu söyledi.
Kötü amaçlı yazılım geliştiricileri, kötü amaçlı yazılımın gerçek doğasını gizlemek için manifest çıkarma ve ayrıştırma prosedüründeki güvenlik açıklarını tespit edip kullanır.
Android Manifest’in Zayıf Yönlerinden Yararlanmak
SoumniBot, varlığını gizlemek ve analizi engellemek için çeşitli teknikler kullanır:
- Geçersiz Sıkıştırma Yöntemi Değeri: SoumniBot, AndroidManifest.xml girişi içindeki sıkıştırma yöntemi değerini değiştirerek ayrıştırıcıyı verileri sıkıştırılmamış olarak tanıması için kandırır ve kötü amaçlı yazılımın kurulum sırasında tespitten kaçmasına olanak tanır.
- Geçersiz Manifest Boyutu: SoumniBot, AndroidManifest.xml girişinin boyut bildirimini değiştirerek, paketlenmemiş manifest içinde yer paylaşımına neden olur. Bu taktik, kötü amaçlı yazılımın, hataları tetiklemeden katı ayrıştırıcıları atlamasına olanak tanır.
- Uzun Ad Alanı Adları: Bildiride aşırı uzun ad alanı dizeleri kullanan SoumniBot, dosyayı hem insanlar hem de programlar için okunamaz hale getirir. Android işletim sistemi ayrıştırıcısı bu uzun ad alanlarını göz ardı ederek kötü amaçlı yazılımın gizli çalışmasını kolaylaştırır.
SoumniBot’un İşlevselliği
Yürütmenin ardından SoumniBot, sabit kodlu bir sunucudan yapılandırma parametrelerini talep ederek etkin bir şekilde çalışmasını sağlar. Kötü amaçlı yazılım daha sonra kötü amaçlı bir hizmet başlatır, kaldırılmasını engellemek için simgesini gizler ve hassas verileri kurbanın cihazından belirlenen bir sunucuya gizlice yüklemeye başlar.
Araştırmacılar ayrıca SoumniBot’un Kore bankaları tarafından çevrimiçi bankacılık hizmetleri için kullanılan dijital sertifikaları arama ve çıkarma yeteneğine de dikkat çekiyor. Bu özellik, tehdit aktörlerinin bankacılık kimlik bilgilerinden yararlanmasına ve sahte işlemler gerçekleştirmesine olanak tanır.
SoumniBot, ilgili dosyaları bulduktan sonra bu dijital sertifikaları içeren dizini bir ZIP arşivine kopyalar ve bu arşiv daha sonra saldırganın kontrolündeki sunucuya iletilir. Kore bankalarının müşterilerine verdiği bu sertifikalar, kimlik doğrulama ve yetkilendirme amacıyla kullanılıyor.
SoumniBot aynı zamanda mesaj sıralama telemetri taşıma sunucusundan veya önemli bir komuta ve kontrol altyapısı bileşeni olan MQTT’den gelen mesajlara da abone olur. MQTT, cihazlar arasında hafif ve verimli mesajlaşmayı kolaylaştırarak kötü amaçlı yazılımın uzaktaki saldırganlardan sorunsuz bir şekilde komut almasına yardımcı olur.
Bazı komutlar, etkilenen cihaz hakkında telefon numarası, operatör ve Truva atı sürümü gibi bilgileri, ardından da kurbanın tüm SMS mesajlarını, kişilerini, hesaplarını, fotoğraflarını, videolarını ve çevrimiçi bankacılık dijital sertifikalarını gönderir.
Ayrıca kurbanın iletişim listesini de gönderir; kurbanın cihazındaki bir kişiyi siler; yüklü uygulamaların bir listesini gönderir; cihaza yeni bir kişi ekler; ve zil sesi ses seviyelerini alır.