Hintli bankacılık müşterilerini popüler finansal uygulamaların taklit etmesini ikna ederek hedefleyen yeni bir Android kötü amaçlı yazılım kampanyası ortaya çıktı.
Kötü niyetli yazılım, SBI kartı, Axis Bank, Indusind Bank, ICICI ve Kotak da dahil olmak üzere büyük Hint finans kurumlarından meşru uygulamalar olarak maskelenerek, kullanıcıları hassas finansal bilgileri çalan sahte uygulamaları indirmeye aldatıyor.
Kötü amaçlı yazılım, resmi bankacılık portallarını yakından çoğaltan, otantik görsel unsurları içeren ve güvenilirlik oluşturmak için markalaşmayı içeren özenle hazırlanmış kimlik avı web siteleri aracılığıyla çalışır.
.webp)
Bu hileli sitelerde, şüphesiz kullanıcıları resmi bankacılık uygulamaları olarak gizlenmiş kötü amaçlı APK dosyaları yüklemeye yönlendiren belirgin “uygulamayı Get” ve “İndir” düğmeleri bulunur.
Kampanya özellikle Hindistan’da Hintçe konuşan kullanıcıları hedefliyor ve aldatıcı etkinliğini arttırmak için kültürel ve dilsel aşinalıktan yararlanıyor.
McAfee araştırmacıları, geleneksel bankacılık sahtekarını kripto para madenciliği yetenekleriyle birleştiren çift amaçlı mimarisi nedeniyle bu tehdidi özellikle tehlikeli olarak tanımladılar.
Kötü amaçlı yazılım sadece kişisel ve finansal verileri de hasat etmekle kalmaz, aynı zamanda enfekte cihazlarda Monero kripto para birimini sessizce mayınlar ve saldırganların her tehlikeye atılan cihazdan finansal kazanımlarını en üst düzeye çıkarır.
Bu kampanyayı geleneksel bankacılık Truva atlarından ayıran şey, sofistike kaçırma mekanizmaları ve uzaktan aktivasyon yetenekleridir.
Kurulum üzerine, kötü amaçlı yazılım, kullanıcılara bir uygulama güncellemesinin gerekli olduğunu gösteren sahte bir Google Play Store arayüzü sunar.
.webp)
Bu aldatıcı taktik, kötü amaçlı yazılım kötü niyetli yükünü hazırlarken kullanıcı güvenini oluşturur.
Gelişmiş yük sunumu ve yürütme mekanizması
Kötü amaçlı yazılım, statik analiz ve algılamadan kaçınmak için tasarlanmış gelişmiş iki aşamalı yük dağıtım sistemi kullanır.
Başlangıçta bir damlalık olarak işlev gören uygulama, birinci aşama yükleyici bileşeni olarak hizmet veren varlık klasöründe şifreli bir DEX dosyası saklar.
Bu şifreli yük yükü, XOR şifrelemesi kullanılarak gizlenir ve güvenlik tarayıcıları tarafından anında algılamayı önler.
Birinci aşama yükleyici, gerçek kötü amaçlı yükü içeren ikinci şifreli bir dosyayı çözer ve dinamik olarak yükler.
Bu katmanlı yaklaşım, ana APK dosyasında net bir kötü amaçlı kod görünmediğini, adli analizi ve otomatik algılama sistemlerini karmaşıklaştırmasını sağlar.
.webp)
Son yük uygulandıktan sonra, kurbanlara kart numaraları, CVV kodları ve kişisel bilgiler de dahil olmak üzere hassas bilgileri yakalayan ikna edici sahte bankacılık arayüzleri sunar.
Kripto para madenciliği işlevselliği, Firebase bulut mesajlaşma yoluyla çalışır ve saldırganların XMRIG yazılımını kullanarak madencilik operasyonlarını uzaktan tetiklemesine olanak tanır.
Kötü amaçlı yazılım, sabit kodlu URL’lerden şifrelenmiş madencilik ikili dosyalarını indirir ve ProcessBuilder’ı kullanarak yürütür, enfekte cihazlarda büyük ölçüde tespit edilmezken Monero kripto para üretir.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin