Android’in yaygın kullanımı ve büyük kullanıcı tabanı, tehdit aktörleri için çoğu zaman kazançlı oluyor.
Tehdit aktörleri, Android işletim sistemindeki güvenlik açıklarından yararlanmak için sıklıkla Android kötü amaçlı yazılımlarını kullanırlar.
Bu, hassas bilgileri çalmak, kullanıcı etkinliğini izlemek ve cihazlara yetkisiz erişim elde etmek gibi çeşitli yasa dışı faaliyetleri gerçekleştirmelerine olanak tanır.
Cleafy araştırmacıları, Mayıs 2024’ün sonunda “BingoMod” adlı yepyeni bir Android Uzaktan Erişim Truva Atı (RAT) tespit ettiler.
BingoMod Android Kötü Amaçlı Yazılım
Bu kötü amaçlı yazılım, Medusa ve Teabot gibi truva atlarına benzer şekilde cihaz içi dolandırıcılık teknikleriyle hesap ele geçirilmesini sağlıyor.
BingoMod’un en önemli özelliklerinden biri de Brata’da olduğu gibi dolandırıcılık faaliyetleri gerçekleştikten sonra cihazları silebilmesi ve dolayısıyla adli analizleri zorlaştırmasıdır.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access
Henüz birkaç örneğin olduğu bir aşamada olmasına rağmen, belirli şirketleri hedeflemek yerine fırsatçı bir davranışa işaret ederek karartma yöntemini kullanıyor.
BingoMod, mobil kötü amaçlı yazılımlar arasında uzmanlaşmış saldırılar yerine daha çok yönlü ve kaçıngan olma eğiliminin arttığını gösteriyor.
Bunun yanı sıra BingoMod, bir güvenlik aracı kılığına bürünmüş olup, zararlı işlevlerini aktif hale getirmek için Erişilebilirlik Hizmetleri’ni kullanıyor.
Komuta ve kontrol (C2) altyapısıyla çift kanallı iletişim kurarken hassas materyalleri ele geçirmek için tuş kaydı ve SMS dinleme kullanır.
Bu kötü amaçlı yazılım, Android Media Projection API’sini ve Erişilebilirlik Hizmetlerini kullanarak gelişmiş uzaktan kontrol için VNC benzeri rutinler ve ekran etkileşiminden yararlanıyor.
Bu, tehdit aktörlerinin enfekte olmuş cihazı doğrudan manipüle ederek “Cihaz Üzerinde Dolandırıcılık” gerçekleştirmesini sağlar.
BingoMod’un silahları arasında, üst üste bindirme saldırıları ve sahte bildirimler yoluyla kimlik avı kapasitesi, SMS tabanlı kendi kendine yayılma ve güçlü güvenlik önlemleri de yer alıyor.
Bu güvenlik önlemleri arasında belirli uygulamaları engelleme, sistem ayarlarını kilitleme ve dolandırıcılık meydana geldikten sonra harici depolamayı uzaktan silme yer alır. Tüm bu önlemler, kaçınmayı tespit etme yeteneğini önemli ölçüde artırır.
BingoMod’un geliştirme süreci, işlevselliği geliştirmekten ziyade karartma tekniklerine odaklanan bir deney aşamasından geçti.
Kod sürümleri incelendiğinde yapıda küçük değişiklikler olduğu görülse de, kod düzleştirme ve dize karartma çalışmalarına yoğun çaba sarf edildiği ve bu sayede antivirüs tespit oranlarının önemli ölçüde azaldığı görülmüştür.
Kötü amaçlı yazılımın kod tabanının İngilizce, Romence ve İtalyanca dillerinden oluşması, çeşitli yazım hataları ve hata ayıklama eserleri içermesi, potansiyel olarak çeşitli bir ekip tarafından geliştirilmeye devam edildiğini düşündürüyor.
HiddenVNC, SMS manipülasyonu ve tuş kaydı gibi yaygın RAT özelliklerini bünyesinde barındıran BingoMod, Otomatik Transfer Sistemleri gibi gelişmiş unsurlara sahip değildir.
Raporda, Brata kötü amaçlı yazılımına benzer şekilde dolandırıcılık sonrası cihaz silme özelliğinin basit bir çıkış stratejisi olarak hizmet ettiği belirtiliyor.
Bu yaklaşım, doğrudan cihaz erişimini manipüle etmeyi gerektiren karmaşık otomasyon yerine Hesap Ele Geçirme yoluyla Cihaz İçi Dolandırıcılığı vurgulayan mevcut mobil bankacılık Truva Atı ortamıyla iyi bir şekilde örtüşmektedir.
Ancak bu uygulamalı yaklaşım ölçeklenebilir değildir ve operatörleri daha büyük tespit risklerine maruz bırakabilir.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide