Güney Kore’deki Android cihaz kullanıcıları, yeni bir tür tehdit oluşturan yeni bir mobil kötü amaçlı yazılım kampanyasının hedefi haline geldi. CasusAjan.
McAfee Labs araştırmacısı SangRyol Ryu, yaptığı analizde, kötü amaçlı yazılımın “cihazınızda bunları içerebilecek görüntüleri tarayarak hafıza anahtarlarını hedef aldığını” söyledi ve hedefleme kapsamının Birleşik Krallık’ı da kapsayacak şekilde genişletildiğini sözlerine ekledi.
Kampanya, kullanıcıları kandırıp yüklemeye çalışmak amacıyla, görünüşte meşru bankacılık, hükümet tesisleri, yayın ve yardımcı uygulamalar gibi görünen sahte Android uygulamaları kullanıyor. Yılın başından bu yana 280’e yakın sahte uygulama tespit edildi.
Her şey, kullanıcıları söz konusu uygulamaları aldatıcı sitelerde barındırılan APK dosyaları biçiminde indirmeye teşvik eden tuzaklı bağlantılar içeren SMS mesajlarıyla başlar. Yüklendikten sonra, cihazlardan veri toplamak için izinsiz izinler talep edecek şekilde tasarlanırlar.
Bunlara kişiler, SMS mesajları, fotoğraflar ve diğer cihaz bilgileri dahildir ve bunların tümü daha sonra tehdit aktörünün kontrolü altındaki harici bir sunucuya sızdırılır.
En dikkat çekici özelliği ise kullanıcıların kripto para cüzdanlarına yeniden erişim sağlamalarını sağlayan kurtarma veya başlangıç cümlesini ifade eden hafıza anahtarlarını çalmak için optik karakter tanıma (OCR) özelliğini kullanabilmesidir.
Dolayısıyla, hafıza anahtarlarına yetkisiz erişim, tehdit aktörlerinin kurbanların cüzdanlarını kontrol altına almasına ve içlerinde saklanan tüm fonları boşaltmasına olanak tanıyabilir.
McAfee Labs, komuta ve kontrol (C2) altyapısının, yalnızca kimlik doğrulaması olmadan sitenin kök dizinine gidilmesine izin vermekle kalmayıp, aynı zamanda kurbanlardan toplanan verilerin de açığa çıkmasına neden olan ciddi güvenlik açıklarından muzdarip olduğunu söyledi.
Sunucu ayrıca, enfekte olmuş cihazları uzaktan ele geçirmek için tek duraklı bir mağaza görevi gören bir yönetici paneline de ev sahipliği yapıyor. Panelde sistem dili Basitleştirilmiş Çince (“zh”) olarak ayarlanmış iOS 15.8.2 çalıştıran bir Apple iPhone cihazının varlığı, bunun iOS kullanıcılarını da hedef alabileceğinin bir işaretidir.
“Başlangıçta, kötü amaçlı yazılım basit HTTP istekleri aracılığıyla komuta ve kontrol (C2) sunucusuyla iletişim kuruyordu,” dedi Ryu. “Bu yöntem etkili olsa da, güvenlik araçlarının izlemesi ve engellemesi de nispeten kolaydı.”
“Önemli bir taktiksel değişimle, kötü amaçlı yazılım artık iletişimleri için WebSocket bağlantılarını benimsedi. Bu yükseltme, C2 sunucusuyla daha verimli, gerçek zamanlı, iki yönlü etkileşimlere olanak tanır ve geleneksel HTTP tabanlı ağ izleme araçları tarafından algılanmasını önlemeye yardımcı olur.”
Bu gelişme, Group-IB’nin en azından Şubat 2024’ten beri Malezya’daki bankacılık kullanıcılarını hedef alan CraxsRAT adlı başka bir Android uzaktan erişim trojanını (RAT) ifşa etmesinden bir aydan biraz fazla bir süre sonra geldi. CraxsRAT kampanyalarının daha önce en geç Nisan 2023’te Singapur’u hedef aldığının da tespit edildiğini belirtmekte fayda var.
Singapurlu şirket, “CraxsRAT, tuş kaydı, hareketler gerçekleştirme, kamera, ekran ve aramaları kaydetme gibi uzaktan cihaz kontrolü ve casus yazılım yeteneklerine sahip, kötü şöhretli bir Android Uzaktan Yönetim Araçları (RAT) kötü amaçlı yazılım ailesidir” dedi.
“CraxsRAT android zararlı yazılımını içeren uygulamaları indiren kurbanlar, kimlik bilgilerinin sızdırılması ve fonlarının yasa dışı yollarla çekilmesiyle karşılaşacak.”